EU:s ram för cybersäkerhetscertifiering

EU:s ram för cybersäkerhetscertifiering av IKT-produkter gör det möjligt att skapa skräddarsydda och riskbaserade EU-certifieringssystem.

Person som håller surfplattan med handen vänd uppåt så att skärmen inte visas. Det finns ett hänglås ovanför skärmen, omgiven av mindre ikoner som representerar den digitala världen. — © iStock by Getty Images -1159281243 Wojtek Skora

Certifiering spelar en avgörande roll för att öka förtroendet och säkerheten för viktiga produkter och tjänster för den digitala världen. För närvarande finns det ett antal olika säkerhetscertifieringssystem för IKT-produkter i EU. Men utan en gemensam ram för EU-omfattande giltiga cybersäkerhetscertifikat finns det en ökande risk för fragmentering och hinder mellan medlemsstaterna.

Certifieringsramen kommer att tillhandahålla EU-omfattande certifieringssystem som en omfattande uppsättning regler, tekniska krav, standarder och förfaranden. Ramen kommer att baseras på en överenskommelse på EU-nivå om utvärdering av säkerhetsegenskaperna hos en viss IKT-baserad produkt eller tjänst. Den kommer att intyga att IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller specificerade krav.

I varje EU-system bör framför allt följande anges:

de kategorier av produkter och tjänster som omfattas,
cybersäkerhetskraven, t.ex. standarder eller tekniska specifikationer,
typ av utvärdering, t.ex. självbedömning eller tredje part.
den avsedda säkerhetsnivån.

Säkerhetsnivåerna används för att informera användarna om en produkts cybersäkerhetsrisk och kan vara grundläggande, betydande och/eller höga. De står i proportion till den risknivå som är förknippad med den avsedda användningen av produkten, tjänsten eller processen, i fråga om sannolikheten för och konsekvenserna av en olycka. En hög säkerhetsnivå skulle innebära att den certifierade produkten klarade de högsta säkerhetstesterna.

Certifikatet kommer att erkännas i alla EU:s medlemsstater, vilket gör det lättare för företag att handla över gränserna och för köparna att förstå produktens eller tjänstens säkerhetsdetaljer.

System för cybersäkerhetscertifiering av gemensamma kriterier

Det första systemet som ska antas inom ramen för cybersäkerhetsakten bygger på den välkända internationella standarden Common Criteria, som används för att utfärda certifikat i Europa i nästan 30 år. Systemet drar nytta av det höga anseendet hos europeiska leverantörer och certifierare som använder de gemensamma kriterierna-baserade certifieringar över hela världen.

Systemet kommer att tillämpas på frivillig basis i hela EU och inriktas på att certifiera it-säkerhet för IKT-produkter under deras livscykel: biometriska system, brandväggar (både hårdvara och programvara), plattformar för upptäckt och reaktion, routrar, switchar, specialiserad programvara (såsom SIEM- och IDS/IDP-system), datadioder, operativsystem (även för mobila enheter), krypterade lagringar, databaser samt smarta kort och säkra element som ingår i alla typer av produkter, t.ex. i pass som dagligen används av alla medborgare.

Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering

Enligt EU:s cybersäkerhetsakt ska kommissionen offentliggöra unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering, ett dokument med en strategisk vision och reflektioner om möjliga områden för framtida europeiska system för cybersäkerhetscertifiering med beaktande av den senaste tidens lagstiftnings- och marknadsutveckling.

Med beaktande av rättsakten om it-resiliens och annan lagstiftningsutveckling, såsom förordningen om europeisk digital identitet, pekar det första URWP på områden för framtida europeiska system för cybersäkerhetscertifiering som är kopplade till lagstiftningsutvecklingen samt områden för framtida reflektioner när det gäller cybersäkerhetscertifiering, vilket i slutändan kan leda till begäranden om nya system när så är nödvändigt och lämpligt. Dessutom beskrivs de strategiska prioriteringar som ska beaktas vid utarbetandet av ett europeiskt system för cybersäkerhetscertifiering.

URWP betonar som områden för framtida europeisk cybersäkerhetscertifiering kopplad till EU-lagstiftningen, särskilt ID-plånböcker och förvaltade säkerhetstjänster. Andra områden kan vara Industrial Automation and Control Systems och säkerhetslivscykelutveckling som bygger på kraven på kreditvärderingsinstitut och kryptografiska mekanismer.

Europeiska gruppen för cybersäkerhetscertifiering

Den europeiska gruppen för cybersäkerhetscertifiering inrättades för att bidra till ett konsekvent genomförande och tillämpning av cybersäkerhetsakten. Den består av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra relevanta nationella myndigheter. ECCG är avgörande för utarbetandet av systemet med kandidatcertifikat och det allmänna genomförandet av certifieringsramen.

Intressentgruppen för cybersäkerhetscertifiering

Efter det att cybersäkerhetslagen trädde i kraft 2019 inrättades intressentgruppen för cybersäkerhetscertifiering (SCCG).

Samordningsgruppen ansvarar för att ge kommissionen och Enisa råd i strategiska frågor som rör cybersäkerhetscertifiering och bistå kommissionen vid utarbetandet av unionens löpande arbetsprogram. Detta är den första expertgruppen för cybersäkerhetscertifiering som lanserades av Europeiska kommissionen.

Följ gruppens arbete

Senaste nytt

PRESS RELEASE | 11 april 2024

Kommissionen offentliggör rekommendationen om post-Quantum Cryptography

I dag har kommissionen offentliggjort en rekommendation om kryptografi efter kvantiteten för att uppmuntra medlemsstaterna att utveckla och genomföra en harmoniserad strategi som EU:s övergång till kryptografi efterkvantum. Detta kommer att bidra till att säkerställa att EU:s digitala infrastruktur och tjänster är säkra i nästa digitala era.

PRESS RELEASE | 05 april 2024

EU och USA fortsätter ett starkt handels- och tekniksamarbete i en tid av globala utmaningar

I dag höll EU och Förenta staterna det sjätte mötet i handels- och teknikrådet EU-USA i Leuven, Belgien. Mötet gjorde det möjligt för ministrarna att bygga vidare på det pågående arbetet och lägga fram nya resultat från TTC efter två och ett halvt års samarbete.

PRESS RELEASE | 26 marec 2024

EU och Republiken Korea bekräftar sitt partnerskap för en inkluderande och motståndskraftig digital omvandling

EU och Sydkorea höll det andra mötet i rådet för digitalt partnerskap i Bryssel. Rådet leddes gemensamt av Thierry Breton, kommissionsledamot med ansvar för den inre marknaden, och Koreas minister för vetenskap och informations- och kommunikationsteknik, dr Lee Jong-Ho.

DIGIBYTE | 20 marec 2024

DHS och GD CONNECT tillkännager initiativ som jämför rapportering av cyberincidenter för att bättre anpassa de transatlantiska strategierna

Det första steget i detta fokuserade initiativ omfattar en analys av likheter och skillnader mellan rekommendationerna i DHS-rapporten om harmonisering av cyberincidenter till den federala regeringen och ramen för rapportering av cybersäkerhetsincidenter enligt NIS 2-direktivet i EU.

Läs om Cybersäkerhet

Läs mer

Översikt

Cybersäkerhetspolitik

Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och våra data och skydda samhället och ekonomin på nätet.

Fördjupning

Europeiska gruppen för cybersäkerhetscertifiering

Den europeiska gruppen för cybersäkerhetscertifiering inrättades för att bidra till ett konsekvent genomförande och tillämpning av cybersäkerhetsakten.

Se också

EU:s rättsakt om it-solidaritet

EU:s rättsakt om it-solidaritet kommer att förbättra beredskapen, upptäckten och hanteringen av cybersäkerhetsincidenter i hela EU.

EU:s rättsakt om it-resiliens

EU:s nya cybersäkerhetsregler säkerställer säkrare hårdvara och programvara.

22 cybersäkerhetsprojekt som valts ut för att få 10,9 miljoner euro

Operatörer av väsentliga tjänster (OES), nationella cybersäkerhetscertifieringsmyndigheter och nationella behöriga myndigheter för cybersäkerhet hör till de utvalda sökande som kommer att få 11 miljoner euro i finansiering från ansökningsomgången för cybersäkerhet inom Fonden för...

Europeiska kompetensnätverket och kompetenscentrumet för cybersäkerhet

Europeiska kompetenscentrumet för cybersäkerhet och cybersäkerhet hjälper EU att behålla och utveckla den tekniska och industriella kapaciteten inom cybersäkerhet.

Intressentgruppen för cybersäkerhetscertifiering

Intressentgruppen för cybersäkerhetscertifiering inrättades för att ge råd i strategiska frågor som rör cybersäkerhetscertifiering.

EU:s cybersäkerhetsakt

Cybersäkerhetsakten stärker EU:s cybersäkerhetsbyrå (Enisa) och fastställer en ram för cybersäkerhetscertifiering för produkter och tjänster.

Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet)

NIS2-direktivet är den EU-omfattande lagstiftningen om cybersäkerhet. Det innehåller rättsliga åtgärder för att öka den övergripande cybersäkerhetsnivån i EU.

EU:s ram för cybersäkerhetscertifiering

System för cybersäkerhetscertifiering av gemensamma kriterier

Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering

Europeiska gruppen för cybersäkerhetscertifiering

Intressentgruppen för cybersäkerhetscertifiering

Senaste nytt

Läs mer

Översikt

Last update