Cadrul UE de certificare a securității cibernetice

Certificarea joacă un rol crucial în creșterea încrederii și securității în produse și servicii importante pentru lumea digitală. În prezent, în UE există o serie de sisteme diferite de certificare a securității produselor TIC. Cu toate acestea, fără un cadru comun pentru certificatele de securitate cibernetică valabile la nivelul UE, există un risc tot mai mare de fragmentare și de bariere între statele membre.

Cadrul de certificare va oferi sisteme de certificare la nivelul UE ca un set cuprinzător de norme, cerințe tehnice, standarde și proceduri. Cadrul se va baza pe un acord la nivelul UE privind evaluarea proprietăților de securitate ale unui anumit produs sau serviciu TIC. Aceasta va atesta că produsele și serviciile TIC care au fost certificate în conformitate cu un astfel de sistem respectă cerințele specificate.

În special, fiecare sistem european ar trebui să specifice:

• categoriile de produse și servicii vizate;
• cerințele de securitate cibernetică, cum ar fi standardele sau specificațiile tehnice;
• tipul de evaluare, cum ar fi autoevaluarea sau partea terță;
• nivelul de asigurare preconizat.

Nivelurile de asigurare sunt utilizate pentru a informa utilizatorii cu privire la riscul de securitate cibernetică al unui produs și pot fi de bază, substanțiale și/sau ridicate. Acestea sunt proporționale cu nivelul de risc asociat utilizării preconizate a produsului, serviciului sau procesului, în ceea ce privește probabilitatea și impactul unui accident. Un nivel ridicat de asigurare ar însemna că produsul certificat a trecut cele mai înalte teste de securitate.

Certificatul rezultat va fi recunoscut în toate statele membre ale UE, permițând întreprinderilor să efectueze schimburi comerciale transfrontaliere și cumpărătorilor să înțeleagă elementele de securitate ale produsului sau serviciului.

Sistemul comun de certificare a securității cibernetice bazat pe criterii

Primul sistem care urmează să fie adoptat în temeiul cadrului de certificare al Legii privind securitatea cibernetică se bazează pe renumitul standard internațional de criterii comune, utilizat pentru eliberarea certificatelor în Europa de aproape 30 de ani. Sistemul profită de reputația ridicată a furnizorilor și a organismelor de certificare europene, utilizând certificarea bazată pe criterii comune în întreaga lume. 

Sistemul se va aplica pe o bază voluntară la nivelul UE și se va concentra pe certificarea securității cibernetice a produselor TIC în ciclul lor de viață: sisteme biometrice, firewall-uri (atât hardware, cât și software), platforme de detectare și răspuns, routere, switch-uri, software specializat (cum ar fi sistemele SIEM și IDS/IDP), diode de date, sisteme de operare (inclusiv pentru dispozitive mobile), depozite criptate, baze de date, precum și carduri inteligente și elemente securizate incluse în toate tipurile de produse, cum ar fi pașapoartele utilizate zilnic de toți cetățenii. 

Programul de lucru continuu al Uniunii pentru certificarea europeană de securitate cibernetică (URWP)

Actul UE privind securitatea cibernetică prevede publicarea de către Comisie a unui program de lucru continuu al Uniunii pentru certificarea europeană de securitate cibernetică, un document care stabilește o viziune strategică și reflecții cu privire la posibilele domenii pentru viitoarele sisteme europene de certificare de securitate cibernetică, ținând seama de evoluțiile legislative și de piață recente. 

Ținând seama de Legea privind reziliența cibernetică (CRA) și de alte evoluții legislative, cum ar fi Regulamentul privind identitatea digitală europeană, primul URWP indică domeniile pentru viitoarele sisteme europene de certificare a securității cibernetice legate de evoluțiile legislative, precum și domeniile de reflecție viitoare cu privire la certificarea de securitate cibernetică, care ar putea conduce în cele din urmă la cereri de noi sisteme, dacă este necesar și adecvat. În plus, acesta subliniază prioritățile strategice care trebuie luate în considerare la pregătirea oricărui sistem european de certificare de securitate cibernetică. 

URWP subliniază ca domenii pentru viitoarea certificare europeană de securitate cibernetică legată de legislația UE, în special portofelele de identitate și serviciile de securitate gestionate.  Alte domenii ar putea include sisteme industriale de automatizare și control și dezvoltarea ciclului de viață al securității pe baza cerințelor CRA, precum și a mecanismelor criptografice.  

Grupul european pentru certificarea securității cibernetice 

Grupul european pentru certificarea securității cibernetice (ECCG) a fost înființat pentru a contribui la asigurarea punerii în aplicare și a aplicării consecvente a Legii privind securitatea cibernetică. Acesta este compus din reprezentanți ai autorităților naționale de certificare a securității cibernetice sau din reprezentanți ai altor autorități naționale relevante. ECCG este esențială pentru pregătirea sistemului de certificate candidate și pentru punerea în aplicare generală a cadrului de certificare.

Grupul de certificare a securității cibernetice al părților interesate

În urma intrării în vigoare a Legii privind securitatea cibernetică în 2019, a fost înființat Grupul părților interesate pentru certificarea securității cibernetice (SCCG). 

CSCG este responsabil de consilierea Comisiei și ENISA cu privire la aspectele strategice legate de certificarea de securitate cibernetică și de asistarea Comisiei în pregătirea programului de lucru deschis al Uniunii. Acesta este primul grup de experți ai părților interesate pentru certificarea securității cibernetice lansat de Comisia Europeană.

Urmăriți activitatea grupului