Европейска схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК)

РЕЗЮМЕ НА:

Регламент за изпълнение (ЕС) 2024/482 — правила за прилагането на Регламент (ЕС) 2019/881 по отношение на приемането на европейската схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК)

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

С настоящия регламент за изпълнение се определят правилата за прилагане на Регламент (ЕС) 2019/881 (вж. резюмето) за общата европейска схема за сертифициране на киберсигурността (ЕССК), основана на общи критерии.

ЕССК е рамка за оценяване и сертифициране на киберсигурността на продукти на информационните и комуникационните технологии (ИКТ) и на профили за защита. Схемата има за цел да гарантира, че продуктите на ИКТ отговарят на строги стандарти за сигурност чрез структуриран процес, за да се повиши киберсигурността, да се постигне съгласуваност в целия Европейски съюз (ЕС) и да се осигури надеждно сертифициране. ЕССК се основава на споразумението за взаимно признаване („СВП“) на сертификати за сигурност на информационните технологии на Групата на висшите служители по сигурността на информационните системи („SOG-IS“).

ОСНОВНИ АСПЕКТИ

СТАНДАРТИ И МЕТОДИ ЗА ОЦЕНЯВАНЕ

Схемата използва общите критерии (ISO/IEC 15408) и общата методология за оценка (ISO/IEC 18045) за оценяване.
Сертифициращите органи издават сертификати на ЕССК на две нива на сигурност: „значително“ (AVA_VAN нива* 1 или 2) и „високо“ (AVA_VAN нива 3, 4 или 5). Нивото на увереност определя дълбочината и строгостта на оценката.
ИКТ продуктите се сертифицират по отношение на техните цели за сигурност, които могат да включват сертифициран профил на защита, ако е приложимо.
Самооценката за съответствие не е разрешена в рамките на схемата ЕССК.

СЕРТИФИЦИРАНЕ НА ИКТ ПРОДУКТИ

Оценките трябва да се придържат към общите критерии, общата методология за оценка и приложимите документи за състоянието на техниката.
Сертифицирането на по-високи нива на увереност (AVA_VAN нива 4 или 5) по правило трябва да се извършва въз основа на технически области или профили на защита, приети като документи за състоянието на техниката и изброени в приложение I.
Кандидатите трябва да предоставят изчерпателна документация, включително резултати от предишни оценки, ако е приложимо, в подкрепа на процеса на сертифициране.
Сертифициращите органи издават сертификати, ако са изпълнени всички условия, и тези сертификати включват специфичната информация, описана в приложение VII.
Националните схеми за сертифициране на киберсигурността трябва да се приведат в съответствие с ЕССК и да преустановят действието си в рамките на 12 месеца от влизането в сила на регламента. Започнатият през този период процес на национално сертифициране трябва да бъде завършен в рамките на 24 месеца след влизането в сила.
Сертификатите:
- са валидни за срок до 5 години с възможност за удължаване при одобрение;
- периодично се преглеждат, за да се гарантира постоянното спазване на изискванията за сигурност;
- се оттеглят, ако сертифицираният продукт вече не отговаря на изискваните стандарти или ако има значителни несъответствия.

СЕРТИФИЦИРАНЕ НА ПРОФИЛИ ЗА ЗАЩИТА

Профилите за защита определят изискванията за сигурност за конкретни категории ИКТ продукти. Тези профили:

се оценяват по същия начин като продуктите на ИКТ, като се гарантира, че те отговарят на необходимите изисквания за сигурност за конкретни категории ИКТ;
се сертифицират от национални органи за сертифициране на киберсигурността или от акредитирани публични органи, или от сертифициращ орган, след предварително одобрение.

МАРКИРОВКА И ЕТИКЕТИРАНЕ

Сертифицираните продукти могат да носят маркировка и етикет, указващи техния сертификационен статус.
Те трябва да са ясно видими и да съдържат подробности, като например нивото на увереност, уникален идентификационен номер и QR код, който да води до информация за сертифицирането.

ОРГАНИ ЗА ОЦЕНКА НА СЪОТВЕТСТВИЕТО

Сертифициращите органи и центровете за оценка на сигурността на информационните технологии (ITSEF) трябва да бъдат акредитирани в съответствие с Регламент (ЕО) № 765/2008 (вж. резюмето), а за високите нива на сигурност — оторизирани от националните органи за сертифициране на киберсигурността.
Националните органи за сертифициране на киберсигурността наблюдават съответствието на сертифициращите органи, ITSEF и притежателите на сертификати. Те също така разглеждат жалби и провеждат разследвания на несъответствия.
Несъответстващите продукти трябва да бъдат подложени на коригиращи мерки, а сертификатите могат да бъдат спрени или отнети, ако проблемите не бъдат решени.
Сертифициращите органи, които издават сертификати за висока степен на сигурност, трябва да се подлагат на редовни партньорски оценки, за да се гарантира последователност и високи стандарти в сертификационните практики.
Европейската група за сертифициране на киберсигурността играе ключова роля в поддържането на схемата, като одобрява най-съвременните документи и осигурява постоянна актуалност и ефективност.

УПРАВЛЕНИЕ НА УЯЗВИМОСТИТЕ И РАЗКРИВАНЕ НА ИНФОРМАЦИЯ

Притежателите на сертификати трябва да установят процедури за управление и разкриване на уязвимости, да извършват анализи на въздействието на уязвимостите и да докладват за значими уязвимости на сертифициращите органи и власти.
Отнетите сертификати трябва да бъдат оповестени в съответните бази данни, за да се осигури прозрачност по отношение на известните уязвимости.

СЪХРАНЯВАНЕ И ЗАЩИТА НА ИНФОРМАЦИЯТА

Сертифициращите органи и ITSEF трябва да съхраняват записите от оценките и сертификатите в продължение на поне 5 години след отнемането на сертификата.
Всички страни, участващи в процеса на сертифициране, трябва да защитават поверителната информация и търговските тайни.

СПОРАЗУМЕНИЯ ЗА ВЗАИМНО ПРИЗНАВАНЕ СЪС СТРАНИ ИЗВЪН ЕС

Страните извън ЕС могат да признават сертификатите на ЕССК чрез споразумения за взаимно признаване, при условие че отговарят на критериите за мониторинг, надзор и управление на уязвимостта.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

Той се прилага от 27 февруари 2025 г.

ОБЩА ИНФОРМАЦИЯ

За допълнителна информация вж.:

Сертифициране на киберсигурността в ЕС (Агенция на Европейския съюз за киберсигурност)
Рамка за сертифициране на киберсигурността (Агенция на Европейския съюз за киберсигурност).

ОСНОВНИ ПОНЯТИЯ

AVA_VAN ниво. Ниво на анализ на уязвимостта, показващо степента на извършените дейности по оценка на киберсигурността, за да се определи нивото на устойчивост срещу потенциална възможност за използване на недостатъци или слабости в обекта на оценка в неговата оперативна среда, както е посочено в общите критерии.

ОСНОВЕН ДОКУМЕНТ

Регламент за изпълнение (ЕС) 2024/482 на Комисията от 31 януари 2024 година за определяне на правила за прилагането на Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета по отношение на приемането на европейската схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК) (OВ L, 2024/482, 7.2.2024 г.).

СВЪРЗАНИ ДОКУМЕНТИ

Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (ОВ L 333, 27.12.2022 г., стр. 80—152).

Последващите изменения на Директива (ЕC) 2022/2555 са включени в първоначалния текст. Тази консолидирана версия е само за документална справка.

Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 година относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, 7.6.2019 г., стр. 15—69).

Регламент (ЕС) 2019/1020 на Европейския парламент и на Съвета от 20 юни 2019 година относно надзора на пазара и съответствието на продуктите и за изменение на Директива 2004/42/ЕО и регламенти (ЕО) № 765/2008 и (ЕС) № 305/2011 (ОВ L 169, 25.6.2019 г., стр. 1—44).

Вж. консолидираната версия.

Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 година за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30—47).

Вж. консолидираната версия.

Препоръка 95/144/ЕО на Съвета от 7 април 1995 година относно общите критерии за оценка на сигурността на информационните технологии (ОВ L 93, 26.4.1995 г., стр. 27—28).

последно актуализация 01.07.2024