EU:s ram för cybersäkerhetscertifiering av IKT-produkter gör det möjligt att skapa skräddarsydda och riskbaserade EU-certifieringssystem.
Certifiering spelar en avgörande roll för att öka förtroendet och säkerheten för viktiga produkter och tjänster för den digitala världen. För närvarande finns det ett antal olika system för säkerhetscertifiering av IKT-produkter i EU. Men utan en gemensam ram för EU-omfattande giltiga cybersäkerhetscertifikat finns det en ökande risk för fragmentering och hinder mellan medlemsstaterna.
Certifieringsramen kommer att tillhandahålla EU-omfattande certifieringssystem som en omfattande uppsättning regler, tekniska krav, standarder och förfaranden. Ramen kommer att bygga på en överenskommelse på EU-nivå om utvärdering av säkerhetsegenskaperna hos en viss IKT-baserad produkt eller tjänst. Det ska intyga att IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller angivna krav.
I varje europeiskt system bör särskilt följande anges:
- De kategorier av produkter och tjänster som omfattas.
- cybersäkerhetskraven, såsom standarder eller tekniska specifikationer,
- Typ av utvärdering, t.ex. självbedömning eller tredje part.
- Den avsedda säkerhetsnivån.
Assuransnivån används för att informera användarna om en produkts cybersäkerhetsrisk och kan vara grundläggande, betydande och/eller hög. De står i proportion till den risknivå som är förknippad med den avsedda användningen av produkten, tjänsten eller processen, när det gäller sannolikheten för och konsekvenserna av en olycka. En hög säkerhetsnivå skulle innebära att den certifierade produkten klarade de högsta säkerhetstesterna.
Certifikatet kommer att erkännas i alla EU-medlemsstater, vilket gör det lättare för företag att handla över gränserna och för köpare att förstå produktens eller tjänstens säkerhetsdetaljer.
Mer information om arbetet med EU:s cybersäkerhetscertifiering finns i Enisas cybersäkerhetscertifiering.
EU:s system för cybersäkerhetscertifiering med gemensamma kriterier (EUCC)
Det första systemet som antas inom ramen för cybersäkerhetsakten bygger på den välkända internationella standarden Common Criteria, som används för att utfärda certifikat i Europa i nästan 30 år nu. Systemet drar nytta av det goda anseendet hos europeiska leverantörer och certifierare som använder den gemensamma kriteriebaserade certifieringen över hela världen. Systemet kommer att börja vara tillgängligt för säljare från och med den 27 februari 2025.
Systemet kommer att tillämpas på frivillig basis i hela EU och är inriktat på certifiering av IKT-produkters cybersäkerhet under deras livscykel: biometriska system, brandväggar (både maskinvara och programvara), detekterings- och svarsplattformar, routrar, switchar, specialiserad programvara (t.ex. SIEM- och IDS/IDP-system), datadioder, operativsystem (även för mobila enheter), krypterade lagringsutrymmen, databaser samt smartkort och säkra element som ingår i alla typer av produkter, t.ex. i pass som dagligen används av alla medborgare.
Mer information om EUCC finns på Enisas webbplats för certifiering.
Unionens rullande arbetsprogram för europeisk cybersäkerhetscertifiering
Enligt EU:s cybersäkerhetsakt ska kommissionen offentliggöra unionens rullande arbetsprogram för europeisk cybersäkerhetscertifiering, ett dokument med en strategisk vision och överväganden om möjliga områden för framtida europeiska ordningar för cybersäkerhetscertifiering med beaktande av den senaste lagstiftnings- och marknadsutvecklingen.
Med beaktande av cyberresiliensakten och annan lagstiftningsutveckling, såsom förordningen om europeisk digital identitet, pekar det första URWP på områden för framtida europeiska system för cybersäkerhetscertifiering som är kopplade till lagstiftningsutvecklingen samt områden för framtida överväganden om cybersäkerhetscertifiering, vilket i slutändan kan leda till begäranden om nya system när så är nödvändigt och lämpligt. Dessutom beskrivs de strategiska prioriteringar som ska beaktas vid utarbetandet av ett europeiskt system för cybersäkerhetscertifiering.
URWP betonar att områden för framtida europeisk cybersäkerhetscertifiering är kopplade till EU-lagstiftningen, särskilt ID-plånböcker och hanterade säkerhetstjänster. Andra områden kan vara industriella automations- och kontrollsystem och utveckling av säkerhetslivscykler som bygger på kraven i kreditvärderingsinstitutet samt kryptografiska mekanismer.
Europeiska gruppen för cybersäkerhetscertifiering
Europeiska gruppen för cybersäkerhetscertifiering (ECCG) inrättades för att bidra till att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av cybersäkerhetsakten. Den består av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra relevanta nationella myndigheter. ECCG är avgörande för utarbetandet av kandidatcertifikatsystemet och det allmänna genomförandet av certifieringsramen.
Intressentgruppen för cybersäkerhetscertifiering
Efter det att cybersäkerhetsakten trädde i kraft 2019 inrättades gruppen för cybersäkerhetscertifiering (Stakeholder Cybersecurity Certification Group, SCCG).
The SCCG is responsible for advising the Commission and ENISA on strategic issues regarding cybersecurity certification, and assisting the Commission in the preparation of the Union rolling work programme. Detta är den första expertgruppen för cybersäkerhetscertifiering som inrättats av Europeiska kommissionen.
Senaste nytt
Läs mer
Översikt
Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och data och hålla samhället och ekonomin på nätet säkra.
Fördjupning
Den europeiska gruppen för cybersäkerhetscertifiering inrättades för att bidra till att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av cybersäkerhetsakten.
Se också
EU:s cybersolidaritetsakt kommer att förbättra beredskapen, upptäckten och insatserna vid cybersäkerhetsincidenter i hela EU.
EU:s nya cybersäkerhetsregler säkerställer säkrare maskinvara och programvara.
Operatörer av väsentliga tjänster (OES), nationella cybersäkerhetscertifieringsmyndigheter och nationella behöriga myndigheter för cybersäkerhet hör till de utvalda sökande som kommer att få 11 miljoner euro i finansiering från ansökningsomgången för cybersäkerhet inom Fonden för...
Europeiska kompetenscentrumet för cybersäkerhet och cybersäkerhet hjälper EU att behålla och utveckla den tekniska och industriella kapaciteten inom cybersäkerhet.
Intressentgruppen för cybersäkerhetscertifiering inrättades för att ge råd i strategiska frågor som rör cybersäkerhetscertifiering.
Cybersäkerhetsakten stärker EU:s cybersäkerhetsbyrå (Enisa) och fastställer en ram för cybersäkerhetscertifiering för produkter och tjänster.
NIS2-direktivet är den EU-omfattande lagstiftningen om cybersäkerhet. Det innehåller rättsliga åtgärder för att öka den övergripande cybersäkerhetsnivån i EU.