Ευρωπαϊκό σχήμα πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC)

 

ΣΫΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Εκτελεστικός κανονισμός (ΕΕ) 2024/482 — κανόνες εφαρμογής του κανονισμού (ΕΕ) 2019/881 όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC)

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΟΥ ΚΑΝΟΝΙΣΜΟΫ;

Αυτός ο εκτελεστικός κανονισμός θεσπίζει τους κανόνες εφαρμογής του κανονισμού (ΕΕ) 2019/881 (βλ. σύνοψη) όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC)

Το EUCC είναι ένα πλαίσιο αξιολόγησης και πιστοποίησης της κυβερνοασφάλειας προϊόντων και χαρακτηριστικών προστασίας των τεχνολογιών των πληροφοριών και των επικοινωνιών (ΤΠΕ). Το σχήμα έχει ως στόχο να διασφαλίζει ότι τα προϊόντα ΤΠΕ πληρούν αυστηρά πρότυπα ασφαλείας μέσω μιας δομημένης διαδικασίας, με στόχο την ενίσχυση της ασφάλειας στον κυβερνοχώρο, την επίτευξη συνοχής σε ολόκληρη την Ευρωπαϊκή Ένωση (ΕΕ) και την παροχή αξιόπιστης πιστοποίησης. Το EUCC βασίζεται στη συμφωνία αμοιβαίας αναγνώρισης («ΣΑΑ») των πιστοποιητικών ασφάλειας της τεχνολογίας των πληροφοριών της Ομάδας Ανώτερων Υπαλλήλων για την Ασφάλεια των Συστημάτων Πληροφοριών («SOG-IS»).

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

ΠΡΟΤΥΠΑ ΚΑΙ ΜΕΘΟΔΟΙ ΑΞΙΟΛΟΓΗΣΗΣ

• Το σχήμα χρησιμοποιεί τα κοινά κριτήρια (ISO/IEC 15408) και την κοινή μεθοδολογία αξιολόγησης (ISO/IEC 18045) για τις αξιολογήσεις.
• Οι οργανισμοί πιστοποίησης εκδίδουν πιστοποιητικά EUCC σε δύο επίπεδα διασφάλισης: «σημαντικό» (επίπεδα AVA_VAN* 1 ή 2) και «υψηλό» (επίπεδα AVA_VAN 3, 4 ή 5). Το επίπεδο διασφάλισης καθορίζει το βάθος και την αυστηρότητα της αξιολόγησης.
• Τα προϊόντα ΤΠΕ πιστοποιούνται ως προς τους στόχους ασφαλείας τους, οι οποίοι μπορούν να συμπεριλαμβάνουν πιστοποιημένο χαρακτηριστικό προστασίας, κατά περίπτωση.
• Η αυτοαξιολόγηση όσον αφορά τη συμμόρφωση δεν επιτρέπεται βάσει του πλαισίου EUCC.

ΠΙΣΤΟΠΟΙΗΣΗ ΠΡΟΪΟΝΤΩΝ ΤΠΕ

• Οι αξιολογήσεις πρέπει να συμμορφώνονται με τα κοινά κριτήρια, την κοινή μεθοδολογία αξιολόγησης και τα ισχύοντα έγγραφα στάθμης της τεχνικής.
• Η πιστοποίηση σε υψηλότερα επίπεδα διασφάλισης (επίπεδα AVA_VAN 4 ή 5) πρέπει να πραγματοποιείται κατά κανόνα με βάση τεχνικούς τομείς ή χαρακτηριστικά προστασίας που εγκρίνονται ως έγγραφα στάθμης της τεχνικής και περιλαμβάνονται στο παράρτημα Ι.
• Οι αιτούντες πρέπει να υποβάλουν πλήρη τεκμηρίωση, συμπεριλαμβανομένων των αποτελεσμάτων προηγούμενων αξιολογήσεων, κατά περίπτωση, για την υποστήριξη της διαδικασίας πιστοποίησης.
• Οι οργανισμοί πιστοποίησης εκδίδουν πιστοποιητικά εφόσον πληρούνται όλες οι προϋποθέσεις, και τα εν λόγω πιστοποιητικά περιλαμβάνουν τις συγκεκριμένες πληροφορίες που επισημαίνονται στο παράρτημα VII.
• Όλα τα εθνικά σχήματα πιστοποίησης της κυβερνοασφάλειας πρέπει να ευθυγραμμίζονται με το EUCC, και παύουν να ισχύουν 12 μήνες μετά την έναρξη ισχύος του κανονισμού. Μια εθνική διαδικασία πιστοποίησης που ξεκίνησε κατά τη διάρκεια αυτής της περιόδου πρέπει να ολοκληρωθεί εντός 24 μηνών από την έναρξη ισχύος.
• Τα πιστοποιητικά:
  • ισχύουν για έως 5 χρόνια, με πιθανές παρατάσεις κατόπιν έγκρισης·
  • επανεξετάζονται περιοδικά ώστε να διασφαλίζεται η διαρκής συμμόρφωση με τις απαιτήσεις ασφαλείας·
  • ανακαλούνται αν το πιστοποιημένο προϊόν δεν πληροί πια τα απαιτούμενα πρότυπα ή αν υπάρχουν σημαντικές περιπτώσεις μη συμμόρφωσης.

ΠΙΣΤΟΠΟΙΗΣΗ ΧΑΡΑΚΤΗΡΙΣΤΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ

Με τα χαρακτηριστικά προστασίας θεσπίζονται απαιτήσεις ασφάλειας για ειδικές κατηγορίες προϊόντων ΤΠΕ. Αυτά τα χαρακτηριστικά:

• αξιολογούνται παρόμοια με τα προϊόντα ΤΠΕ, διασφαλίζοντας ότι πληρούν τις απαραίτητες απαιτήσεις ασφαλείας για συγκεκριμένες κατηγορίες ΤΠΕ·
• πιστοποιούνται από εθνικές αρχές πιστοποίησης κυβερνοασφάλειας ή διαπιστευμένους δημόσιους οργανισμούς ή από οργανισμό πιστοποίησης, κατόπιν προηγούμενης έγκρισης.

ΣΗΜΑΤΑ ΚΑΙ ΕΠΙΣΗΜΑΝΣΗ

• Τα πιστοποιημένα προϊόντα μπορούν να φέρουν σήμα και επισήμανση που να υποδεικνύει το καθεστώς πιστοποίησής τους.
• Αυτά πρέπει να είναι ευδιάκριτα και να περιέχουν στοιχεία όπως το επίπεδο διασφάλισης, τον μοναδικό αναγνωριστικό αριθμό και έναν κωδικό QR που παραπέμπει στις πληροφορίες πιστοποίησης.

ΟΡΓΑΝΙΣΜΟΙ ΑΞΙΟΛΟΓΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

• Οι οργανισμοί πιστοποίησης και οι εγκαταστάσεις αξιολόγησης της ασφάλειας της τεχνολογίας πληροφοριών (ΕΑΑΤΠ) πρέπει να είναι διαπιστευμένοι σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 (βλ. σύνοψη) και, για υψηλά επίπεδα διασφάλισης, εξουσιοδοτημένοι από τις εθνικές αρχές πιστοποίησης κυβερνοασφάλειας.
• Οι εθνικές αρχές πιστοποίησης κυβερνοασφάλειας παρακολουθούν τη συμμόρφωση των οργανισμών πιστοποίησης, των ΕΑΑΤΠ και των κατόχων πιστοποιητικών. Επίσης, χειρίζονται τις καταγγελίες και να διενεργούν έρευνες για τυχόν μη συμμόρφωση.
• Τα μη συμμορφούμενα προϊόντα πρέπει να υπόκεινται σε διορθωτικά μέτρα, και τα πιστοποιητικά μπορεί να ανασταλούν ή να ανακληθούν εφόσον δεν επιλυθούν τα προβλήματα.
• Οι οργανισμοί πιστοποίησης που εκδίδουν πιστοποιητικά υψηλής διασφάλισης πρέπει να υποβάλλονται σε τακτικές αξιολογήσεις από ομοτίμους, ώστε να διασφαλίζεται η συνέπεια και τα υψηλά πρότυπα των πρακτικών πιστοποίησης.
• Η ευρωπαϊκή ομάδα πιστοποίησης της κυβερνοασφάλειας διαδραματίζει καθοριστικό ρόλο στη διατήρηση του σχήματος, εγκρίνοντας έγγραφα στάθμης της τεχνικής και εξασφαλίζοντας συνεχή συνάφεια και αποτελεσματικότητα.

ΔΙΑΧΕΙΡΙΣΗ ΚΑΙ ΔΗΜΟΣΙΟΠΟΙΗΣΗ ΤΡΩΤΩΝ ΣΗΜΕΙΩΝ

• Οι κάτοχοι πιστοποιητικών οφείλουν να καθιερώνουν διαδικασίες για τη διαχείριση και τη γνωστοποίηση των τρωτών σημείων, τη διενέργεια αναλύσεων επιπτώσεων των τρωτών σημείων, και την υποβολή εκθέσεων για τα τρωτά σημεία στους οργανισμούς και τις αρχές πιστοποίησης.
• Τα πιστοποιητικά που έχουν ανακληθεί πρέπει να γνωστοποιούνται στις σχετικές βάσεις δεδομένων, διασφαλίζοντας τη διαφάνεια σχετικά με τα γνωστά τρωτά σημεία.

ΔΙΑΤΗΡΗΣΗ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ

• Οι οργανισμοί πιστοποίησης και οι ΕΑΑΤΠ οφείλουν να διατηρούν αρχεία αξιολογήσεων και πιστοποιήσεων για τουλάχιστον 5 έτη μετά την απόσυρση του πιστοποιητικού.
• Όλα τα μέρη που εμπλέκονται στη διαδικασία πιστοποίησης πρέπει να προστατεύουν τις εμπιστευτικές πληροφορίες και τα επιχειρηματικά μυστικά.

ΣΥΜΦΩΝΙΕΣ ΑΜΟΙΒΑΙΑΣ ΑΝΑΓΝΩΡΙΣΗΣ ΜΕ ΤΡΙΤΕΣ ΧΩΡΕΣ

• Οι τρίτες χώρες μπορούν να αναγνωρίζουν τις πιστοποιήσεις του EUCC μέσω συμφωνιών αμοιβαίας αναγνώρισης, εφόσον πληρούν τα κριτήρια παρακολούθησης, εποπτείας και διαχείρισης των τρωτών σημείων.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Ο ΚΑΝΟΝΙΣΜΟΣ;

Ο κανονισμός εφαρμόζεται από τις 27 Φεβρουαρίου 2025.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Για περισσότερες πληροφορίες, δείτε:

• Πιστοποίηση κυβερνοασφάλειας της ΕΕ (Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια)
• Πιστοποίηση κυβερνοασφάλειας της ΕΕ (Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια).

ΒΑΣΙΚΟΙ ΟΡΟΙ

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Εκτελεστικός κανονισμός (ΕΕ) 2024/482 της Επιτροπής, της 31ης Ιανουαρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC) (ΕΕ L, 2024/482 της 7.2.2024).

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2) (ΕΕ L 333 της 27.12.2022, σ. 80-152).

Οι διαδοχικές τροποποιήσεις της οδηγίας (EE) 2022/2555 έχουν ενσωματωθεί στο πρωτότυπο κείμενο. Αυτή η ενοποιημένη απόδοση αποτελεί απλώς εργαλείο τεκμηρίωσης.

Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (Πράξη για την Κυβερνοασφάλεια) (ΕΕ L 151 της 7.6.2019, σ. 15-69).

Κανονισμός (ΕE) 2019/1020 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Ιουνίου 2019, για την εποπτεία της αγοράς και τη συμμόρφωση των προϊόντων και για την τροποποίηση της οδηγίας 2004/42/ΕΚ και των κανονισμών (ΕΚ) αριθ. 765/2008 και (ΕΕ) αριθ. 305/2011 (ΕΕ L 169 της 25.6.2019, σ. 1-44).

Βλέπε την ενοποιημένη απόδοση.

Κανονισμός (EΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αριθ. 339/93 (ΕΕ L 218 της 13.8.2008, σ. 30-47).

Βλέπε την ενοποιημένη απόδοση.

Σύσταση 95/144/ΕΚ του Συμβουλίου της 7ης Απριλίου 1995 για κοινά κριτήρια ασφαλείας της τεχνολογίας πληροφοριών (ΕΕ L 93 της 26.4.1995, σ. 27-28).

τελευταία ενημέρωση 01.07.2024