Certifikácia zohráva kľúčovú úlohu pri zvyšovaní dôvery a bezpečnosti dôležitých produktov a služieb pre digitálny svet. V súčasnosti v EÚ existuje niekoľko rôznych systémov certifikácie bezpečnosti produktov IKT. Bez spoločného rámca pre certifikáty kybernetickej bezpečnosti platné v celej EÚ však existuje čoraz väčšie riziko fragmentácie a prekážok medzi členskými štátmi.
Certifikačný rámec poskytne celoeurópske certifikačné systémy ako komplexný súbor pravidiel, technických požiadaviek, noriem a postupov. Rámec bude založený na dohode na úrovni EÚ o hodnotení bezpečnostných vlastností konkrétneho produktu alebo služby založenej na IKT. Potvrdí, že produkty a služby IKT, ktoré boli certifikované v súlade s takýmto systémom, spĺňajú stanovené požiadavky.
V každom európskom systéme by sa malo špecifikovať najmä:
- kategórie zahrnutých výrobkov a služieb;
- požiadavky kybernetickej bezpečnosti, ako sú normy alebo technické špecifikácie;
- druh hodnotenia, ako je sebahodnotenie alebo tretia strana;
- plánovaná úroveň uistenia.
Úrovne dôveryhodnosti sa používajú na informovanie používateľov o kybernetickobezpečnostnom riziku produktu a môžu byť základné, podstatné a/alebo vysoké. Sú úmerné úrovni rizika spojeného s plánovaným použitím výrobku, služby alebo procesu, pokiaľ ide o pravdepodobnosť a vplyv nehody. Vysoká úroveň zabezpečenia by znamenala, že certifikovaný produkt prešiel najvyššími bezpečnostnými testami.
Výsledné osvedčenie sa bude uznávať vo všetkých členských štátoch EÚ, čím sa podnikom uľahčí cezhraničný obchod a kupujúcim pochopia bezpečnostné prvky výrobku alebo služby.
Systém certifikácie kybernetickej bezpečnosti založený na spoločných kritériách
Prvý systém, ktorý sa má prijať podľa certifikačného rámca aktu o kybernetickej bezpečnosti, je založený na uznávaných medzinárodných štandardoch spoločných kritérií, ktoré sa používajú na vydávanie certifikátov v Európe už takmer 30 rokov. Systém využíva vysokú reputáciu európskych predajcov a certifikačných pracovníkov, ktorí využívajú certifikáciu založenú na spoločných kritériách na celom svete.
Systém sa bude uplatňovať na dobrovoľnom základe v celej EÚ a zameriava sa na certifikáciu kybernetickej bezpečnosti produktov IKT v ich životnom cykle: biometrické systémy, firewally (hardvér aj softvér), platformy detekcie a reakcie, smerovače, prepínače, špecializovaný softvér (ako sú systémy SIEM a IDS/IDP), dátové diódy, operačné systémy (vrátane mobilných zariadení), šifrované úložiská, databázy, ako aj inteligentné karty a bezpečné prvky zahrnuté vo všetkých druhoch produktov, napríklad v pasoch, ktoré denne používajú všetci občania.
Priebežný pracovný program Únie pre európsku certifikáciu kybernetickej bezpečnosti (URWP)
V akte EÚ o kybernetickej bezpečnosti sa predpokladá, že Komisia uverejní priebežný pracovný program Únie pre európsku certifikáciu kybernetickej bezpečnosti, dokument, v ktorom sa stanovuje strategická vízia a úvahy o možných oblastiach budúcich európskych systémov certifikácie kybernetickej bezpečnosti vzhľadom na najnovší legislatívny vývoj a vývoj na trhu.
Vzhľadom na Akt o kybernetickej odolnosti (CRA) a ďalší legislatívny vývoj, ako je napríklad nariadenie o európskej digitálnej identite, prvá pracovná skupina URWP poukazuje na oblasti budúcich európskych systémov certifikácie kybernetickej bezpečnosti spojené s legislatívnym vývojom, ako aj na oblasti pre budúce úvahy o certifikácii kybernetickej bezpečnosti, čo by mohlo prípadne viesť k žiadostiam o nové systémy, ak je to potrebné a vhodné. Okrem toho sa v ňom uvádzajú strategické priority, ktoré je potrebné zvážiť pri príprave akéhokoľvek európskeho systému certifikácie kybernetickej bezpečnosti.
URWP zdôrazňuje ako oblasti budúcej európskej certifikácie kybernetickej bezpečnosti spojenej s právnymi predpismi EÚ, najmä peňaženky ID a spravované bezpečnostné služby. Ďalšie oblasti by mohli zahŕňať priemyselné automatizačné a riadiace systémy a vývoj životného cyklu bezpečnosti na základe požiadaviek ratingovej agentúry, ako aj kryptografických mechanizmov.
Európska skupina pre certifikáciu kybernetickej bezpečnosti
Európska skupina pre certifikáciu kybernetickej bezpečnosti (ECCG) bola zriadená s cieľom pomôcť zabezpečiť konzistentné vykonávanie a uplatňovanie aktu o kybernetickej bezpečnosti. Skladá sa zo zástupcov vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti alebo zástupcov iných príslušných vnútroštátnych orgánov. ECCG pomáha pri príprave kandidátskej certifikačnej schémy a všeobecnej implementácii certifikačného rámca.
Certifikačná skupina zainteresovaných strán pre kybernetickú bezpečnosť
Po nadobudnutí účinnosti aktu o kybernetickej bezpečnosti v roku 2019 bola zriadená skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti (SCCG).
SCCG je zodpovedná za poskytovanie poradenstva Komisii a agentúre ENISA v strategických otázkach týkajúcich sa certifikácie kybernetickej bezpečnosti a za pomoc Komisii pri príprave priebežného pracovného programu Únie. Ide o prvú expertnú skupinu zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti, ktorú zriadila Európska komisia.
Najnovšie správy
Súvisiaci obsah
Širšia perspektíva
Európska únia pracuje na rôznych frontoch s cieľom podporovať kybernetickú odolnosť, chrániť našu komunikáciu a údaje a chrániť online spoločnosť a hospodárstvo.
Hlbší pohľad
Európska skupina pre certifikáciu kybernetickej bezpečnosti bola zriadená s cieľom pomôcť zabezpečiť konzistentné vykonávanie a uplatňovanie aktu o kybernetickej bezpečnosti.
Pozri aj
Aktom EÚ o kybernetickej solidarite sa zlepší pripravenosť, odhaľovanie a reakcia na kybernetické incidenty v celej EÚ.
Nové pravidlá EÚ v oblasti kybernetickej bezpečnosti zabezpečujú bezpečnejší hardvér a softvér.
Prevádzkovatelia základných služieb (OES), národné certifikačné orgány kybernetickej bezpečnosti (NCCA) a príslušné vnútroštátne orgány pre kybernetickú bezpečnosť patria medzi vybraných žiadateľov, ktorí dostanú finančné prostriedky vo výške 11 miliónov EUR z výzvy Nástroja na...
Európska sieť kybernetickej bezpečnosti a kompetenčné centrum kybernetickej bezpečnosti pomáhajú EÚ udržiavať a rozvíjať technologické a priemyselné kapacity v oblasti kybernetickej bezpečnosti.
Skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti bola zriadená s cieľom poskytovať poradenstvo v strategických otázkach týkajúcich sa certifikácie kybernetickej bezpečnosti.
Aktom o kybernetickej bezpečnosti sa posilňuje Agentúra EÚ pre kybernetickú bezpečnosť (ENISA) a zriaďuje sa rámec certifikácie kybernetickej bezpečnosti pre produkty a služby.
Smernica NIS2 je celoeurópskou legislatívou v oblasti kybernetickej bezpečnosti. Poskytuje právne opatrenia na zvýšenie celkovej úrovne kybernetickej bezpečnosti v EÚ.