Den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC)

 

RESUMÉ AF:

Gennemførelsesforordning (EU) 2024/482 — regler for anvendelsen af forordning (EU) 2019/881 om vedtagelse af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier(EUCC).

HVAD ER FORMÅLET MED FORORDNINGEN?

Gennemførelsesforordningen fastsætter regler for anvendelse af forordning (EF) nr. 2019/881 (se resumé) om den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC).

EUCC er rammebestemmelser for vurdering og certificering af cybersikkerheden i information- og kommunikationsteknologi(IKT) -produkter og beskyttelsesprofiler. Ordningen har til formål at sikre, at IKT-produkter opfylder strenge sikkerhedsstandarder gennem en struktureret proces, der sigter mod at forbedre cybersikkerhed, opnå konsistens på tværs af Den Europæiske Union (EU) og give pålidelig certificering. EUCC bygger på aftalen om gensidig anerkendelse (»MRA«) af informationsteknologisikkerhedscertifikater fra Senior Officials Group Information Systems Security (»SOG-IS«).

HOVEDPUNKTER

EVALUERINGSSTANDARDER OG MÅLEMETODER

• Ordningen anvender de fælles kriterier (ISO/IEC 15408) og den fælles evalueringsmetodologi (ISO/IEC 18045) til evalueringer.
• Certificeringsorganer udsteder EUPC-certifikater på to sikkerhedsniveauer: »væsentlig« (AVA_VAN-niveauer* 1 og 2) og »høj« (AVA_VAN-niveauer 3, 4 og 5). Sikkerhedsniveauet bestemmer hvor dyb og streng evalueringen er.
• IKT-produkter er certificeret i forhold til deres sikkerhedsmål, som kan inkorporere en certificeret beskyttelsesprofil, hvis det er relevant.
• Selvevaluering af overensstemmelse er ikke tilladt indenfor EUCC-ordningen.

CERTIFICERING AF IKT-PRODUKTER

• Evalueringer skal overholde de fælles kriterier, den fælles evalueringsmetodologi og gældende avancerede dokumenter.
• Certificering på højere sikringsniveauer (AVA_VAN niveau 4 eller 5) skal som regel udføres på grundlag af tekniske domæner eller beskyttelsesprofiler, der er vedtaget som avancerede dokumenter og opført i bilag I.
• Ansøgere skal levere omfattende dokumentation, herunder tidligere evalueringsresultater, hvis det er relevant, for at understøtte certificeringsprocessen.
• Certificeringsorganer udsteder certifikater, hvis alle betingelser er opfyldt, og disse certifikater omfatter de specifikke oplysninger, der er beskrevet i bilag VII.
• Nationale cybersikkerhedscertificeringsordninger skal tilpasses EUCC og sættes ud af kraft inden for 12 måneder efter forordningens ikrafttræden. En national certificeringsproces påbegyndt i denne periode skal afsluttes inden for 24 måneder efter ikrafttrædelsen.
• Certifikaterne er:
  • gyldige i op til 5 år, med mulige forlængelser ved godkendelse
  • revideret regelmæssigt for at sikre løbende overholdelse af sikkerhedskravene
  • trukket tilbage, hvis det certificerede produkt ikke længere opfylder de krævede standarder, eller hvis der er væsentlige afvigelser.

CERTIFICERING AF BESKYTTELSESPROFILER

Beskyttelsesprofiler fastlægger sikkerhedskrav for specifikke ikt-produktkategorier. Disse profiler bliver:

• evalueret på samme måde som IKT-produkter, hvilket sikrer, at de opfylder de nødvendige sikkerhedskrav for specifikke IKT-kategorier;
• certificeret af nationale cybersikkerhedscertificeringsmyndigheder eller akkrediterede offentlige organer eller et certificeringsorgan efter forudgående godkendelse.

MÆRKNING OG ETIKETTERING

• Certificerede produkter kan bære et mærke og en etiket, der angiver deres certificeringsstatus.
• Disse skal være tydeligt synlige og indeholde oplysninger såsom sikringsniveau, unikt identifikationsnummer og en QR-kode, der linker til certificeringsoplysninger.

OVERENSSTEMMELSESVURDERINGSORGANER

• Certificeringsorganer og tjenester til vurdering af informationsteknologisk sikkerhed (ITSEF’er) skal være akkrediteret i overensstemmelse med forordning (EF) nr. 765/2008 (se resumé) og, for høje sikkerhedsniveauer, autoriseret af nationale cybersikkerhedscertificeringsmyndigheder.
• Nationale cybersikkerhedscertificeringsmyndigheder overvåger overholdelse hos certificeringsorganer, ITSEF’er og certifikatindehavere. De behandler også klager og foretager undersøgelser af manglende overensstemmelse.
• Ikke-overensstemmende produkter skal underkastes korrigerende foranstaltninger, og certifikater kan suspenderes eller trækkes tilbage, hvis problemer ikke løses.
• Certificeringsorganer, der udsteder certifikater med høj sikkerhed, skal gennemgå regelmæssige peer-evalueringer for at sikre sammenhæng og høje standarder i certificeringspraksis.
• Den Europæiske Cybersikkerhedscertificeringsgruppe spiller en afgørende rolle i at opretholde ordningen, godkende avancerede dokumenter og sikre løbende relevans og effektivitet.

SÅRBARHEDSHÅNDTERING OG OFFENTLIGGØRELSE

• Certifikatindehavere skal etablere procedurer for at håndtere og afsløre sårbarheder, udføre analyser af sårbarhed mod påvirkninger og indberette væsentlige sårbarheder til certificeringsorganer og myndigheder.
• Tilbagekaldte certifikater skal offentliggøres i relevante databaser, hvilket sikrer gennemsigtighed om kendte sårbarheder.

BEVARELSE OG BESKYTTELSE AF INFORMATION

• Certificeringsorganer og ITSEF’er skal bevare registre over evalueringer og certificeringer i mindst 5 år efter tilbagetrækning af certifikatet.
• Alle parter involveret i certificeringsprocessen skal beskytte fortrolige oplysninger og forretningshemmeligheder.

GENSIDIGE ANERKENDELSESAFTALER MED IKKE-EU-LANDE

• Ikke-EU-lande kan anerkende EUCC-certificeringer gennem aftaler om gensidig anerkendelse, forudsat at de opfylder kriterierne for overvågning, tilsyn og sårbarhedshåndtering.

HVORNÅR GÆLDER FORORDNINGEN FRA?

Den træder i kraft den 27. februar 2025.

BAGGRUND

For yderligere oplysninger henvises til:

• EU informationssikkerhedscertificering (Den Europæiske Unions Agentur for Cybersikkerhed)
• Rammer for cybersikkerhedscertificering (Den Europæiske Unions Agentur for Cybersikkerhed).

VIGTIGE BEGREBER

HOVEDDOKUMENT

Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) (EUT L, 2024/482, 7. februar 2024).

TILHØRENDE DOKUMENTER

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80-152).

Efterfølgende ændringer til direktiv (EU) 2022/2555 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15-69).

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1-44).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30-47).

Se den konsoliderede udgave.

Rådets henstilling 95/144/EF af 7. april 1995 om ensartede kriterier for vurdering af informationsteknologisk sikkerhed (EUT L 93 af 26.4.1995, s. 27-28).

seneste ajourføring 01.07.2024