Evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích (EUCC)

 

PŘEHLED DOKUMENTU:

Prováděcí nařízení (EU) 2024/482 — prováděcí pravidla k nařízení (EU) 2019/881 o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích

CO JE CÍLEM NAŘÍZENÍ?

Toto prováděcí nařízení stanoví prováděcí pravidla k nařízení (EU) 2019/881 (viz shrnutí) pro evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích (EUCC).

EUCC je rámec pro posuzování a certifikaci kybernetické bezpečnosti produktů informačních a komunikačních technologií (IKT) a profilů ochrany. Cílem tohoto systému je zajistit, aby produkty IKT splňovaly přísné bezpečnostní normy prostřednictvím strukturovaného procesu, který má zvýšit kybernetickou bezpečnost, dosáhnout jednotnosti v celé Evropské unii (EU) a poskytnout důvěryhodnou certifikaci. EUCC vychází z dohody o vzájemném uznávání certifikátů („MRA“) bezpečnosti informačních technologií skupiny vyšších úředníků pro bezpečnost informačních systémů („SOG-IS“).

KLÍČOVÉ BODY

HODNOTÍCÍ NORMY A METODY

• Tento systém používá pro hodnocení společná kritéria (ISO/IEC 15408) a společnou metodiku hodnocení (ISO/IEC 18045).
• Certifikační orgány vydávají certifikáty EUCC na dvou úrovních záruky: „významná“ (úrovně AVA_VAN* 1 nebo 2) a „vysoká“ (úrovně AVA_VAN 3, 4 nebo 5). Úroveň záruky určuje hloubku a přísnost hodnocení.
• Produkty ICT jsou certifikovány podle svých bezpečnostních cílů, které mohou případně zahrnovat certifikovaný profil ochrany.
• Vlastní posuzování shody není v rámci systému EUCC povoleno.

CERTIFIKACE PRODUKTŮ IKT

• Hodnocení se musí řídit společnými kritérii, společnou metodikou hodnocení a příslušnými přehledy aktuálních certifikačních postupů.
• Certifikace na vyšších úrovních záruky (úrovně AVA_VAN 4 nebo 5) musí být zpravidla prováděna na základě technických domén nebo profilů ochrany přijatých jako přehledy aktuálních certifikačních postupů v příloze I.
• Žadatelé musí předložit komplexní dokumentaci, včetně případných výsledků předchozích hodnocení, aby doložili proces certifikace.
• Certifikační orgány vydávají certifikáty, pokud jsou splněny všechny podmínky, a tyto certifikáty obsahují konkrétní informace uvedené v příloze VII.
• Vnitrostátní systémy certifikace kybernetické bezpečnosti se musí přizpůsobit EUCC a přestat mít účinky do 12 měsíců od vstupu nařízení v platnost. Vnitrostátní certifikační proces zahájený během tohoto období musí být dokončen do 24 měsíců od vstupu v platnost.
• Certifikáty jsou:
  • platné až po dobu 5 let s možností prodloužení po schválení;
  • pravidelně přezkoumávány, aby se zajistilo trvalé dodržování bezpečnostních požadavků;
  • zrušeny, pokud certifikovaný výrobek přestal splňovat požadované normy nebo pokud se vyskytly závažné neshody.

CERTIFIKACE OCHRANNÝCH PROFILŮ

Profily ochrany stanoví bezpečnostní požadavky pro konkrétní kategorie produktů IKT. Tyto profily jsou:

• hodnoceny podobně jako produkty IKT, aby bylo zajištěno, že splňují nezbytné bezpečnostní požadavky pro konkrétní kategorie IKT;
• certifikované vnitrostátními orgány certifikace kybernetické bezpečnosti nebo akreditovanými veřejnými subjekty nebo certifikačním orgánem po předchozím schválení.

POUŽÍVÁNÍ OZNAČENÍ A ŠTÍTKŮ

• Certifikované výrobky mohou být opatřeny značkou a štítkem, které označují jejich certifikační status.
• Musí být zřetelně viditelné a musí obsahovat podrobnosti, jako je úroveň záruky, jedinečné identifikační číslo a QR kód odkazující na informace o certifikaci.

SUBJEKTY POSUZOVÁNÍ SHODY

• Certifikační subjekty a zařízení pro hodnocení bezpečnosti informačních technologií (zařízení ITSEF) musí být akreditovány v souladu s nařízením (ES) č. 765/2008 (viz shrnutí) a v případě vysokých úrovní záruky musí být autorizovány vnitrostátními orgány certifikace kybernetické bezpečnosti.
• Vnitrostátní orgány certifikace kybernetické bezpečnosti monitorují dodržování předpisů certifikačními orgány, zařízeními ITSEF a držiteli certifikátů. Vyřizují také stížnosti a provádějí šetření neshod.
• Nevyhovující výrobky musí být podrobeny nápravným opatřením, a pokud nejsou problémy vyřešeny, může být platnost certifikátu pozastavena nebo zrušena.
• Certifikační orgány vydávající certifikáty vysoké spolehlivosti musí pravidelně procházet vzájemným hodnocením, aby byla zajištěna konzistentnost a vysoké standardy certifikačních postupů.
• Evropská skupina pro certifikaci kybernetické bezpečnosti hraje klíčovou roli při udržování systému, schvalování přehledů aktuálních certifikačních postupů a zajišťování trvalé relevance a účinnosti.

SPRÁVA A ZVEŘEJŇOVÁNÍ ZRANITELNOSTÍ

• Držitelé certifikátů musí zavést postupy pro správu a zveřejňování zranitelností, provádět analýzy dopadu zranitelností a hlásit významné zranitelnosti certifikačním subjektům a orgánům.
• Zrušené certifikáty musí být zveřejněny v příslušných databázích, čímž se zajistí transparentnost známých zranitelností.

UCHOVÁVÁNÍ A OCHRANA INFORMACÍ

• Certifikační orgány a ITSEF musí uchovávat záznamy o hodnoceních a certifikacích po dobu nejméně 5 let od odebrání certifikátu.
• Všechny strany zapojené do procesu certifikace musí chránit důvěrné informace a obchodní tajemství.

DOHODY O VZÁJEMNÉM UZNÁVÁNÍ SE ZEMĚMI, KTERÉ NEJSOU ČLENY EU

• Země mimo EU mohou uznávat certifikace EUCC na základě dohod o vzájemném uznávání, pokud splňují kritéria týkající se monitorování, dohledu a řízení zranitelnosti.

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

Platí ode dne 27. února 2025.

KONTEXT

Další informace viz:

• Certifikace kybernetické bezpečnosti EU (Agentura Evropské unie pro kybernetickou bezpečnost)
• Rámec pro certifikaci kybernetické bezpečnosti (Agentura Evropské unie pro kybernetickou bezpečnost).

KLÍČOVÉ POJMY

HLAVNÍ DOKUMENT

Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L 2024/482, 7.2.2024).

SOUVISEJÍCÍ DOKUMENTY

Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80-152).

Do původního znění byly zapracovány postupné změny směrnice (EU) 2022/2555. Toto konsolidované znění má pouze dokumentární hodnotu.

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15-69).

Nařízení Evropského parlamentu a Rady (EU) 2019/1020 ze dne 20. června 2019 o dozoru nad trhem a souladu výrobků s předpisy a o změně směrnice 2004/42/ES a nařízení (ES) č. 765/2008 a (EU) č. 305/2011 (Úř. věst. L 169, 25.6.2019, s. 1-44).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30-47).

Viz konsolidované znění.

Doporučení Rady 95/144/ES ze dne 7. dubna 1995 o obecných kritériích pro hodnocení bezpečnosti informačních technologií (Úř. věst. L 93, 26.4.1995, s. 27-28).

Poslední aktualizace 01.07.2024