Euroopa ühiskriteeriumidel põhinev küberturvalisuse sertifitseerimise kava (EUCC)

 

KOKKUVÕTE:

rakendusmäärus (EL) 2024/482 – määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega.

MIS ON MÄÄRUSE EESMÄRK?

Selles rakendusmääruses sätestatakse Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) käsitleva määruse (EL) 2019/881 (vt kokkuvõte) kohaldamise eeskirjad.

EUCC on raamistik info- ja kommunikatsioonitehnoloogiatoodete (IKT) ning kaitseprofiilide küberturvalisuse hindamiseks ja sertifitseerimiseks. Kava eesmärk on tagada IKT-toodete vastavus rangetele turvastandarditele struktureeritud protsessi kaudu, et parandada küberturvalisust, saavutada järjepidevus kogu Euroopa Liidus (EL) ja pakkuda usaldusväärset sertifitseerimist. EUCC tugineb kõrgemate ametnike infosüsteemide turvalisuse rühma (SOG-IS) vastastikuse tunnustamise lepingule infotehnoloogia turvasertifikaatide kohta.

PÕHIPUNKTID

HINDAMISSTANDARDID JA -MEETODID

• Kava kohaselt tehtavate hindamiste suhtes kohaldatakse ühiseid kriteeriume (ISO/IEC 15408) ja ühist hindamismetoodikat (ISO/IEC 18045).
• Sertifitseerimisasutused annavad välja kahe usaldusväärsuse tasemega EUCC sertifikaate: märkimisväärsed (tasemed AVA_VAN*.1 või AVA_VAN.2) ja kõrged tasemed (tasemed AVA_VAN.3, AVA_VAN.4 või AVA_VAN.5). Usaldusväärsuse tase tähistab hindamise sügavust ja rangust.
• IKT-tooted sertifitseeritakse nende turvasihi alusel, mis võib vajaduse korral hõlmata sertifitseeritud kaitseprofiili.
• Vastavuse enesehindamine ei ole EUCC kava raames lubatud.

IKT-TOODETE SERTIFITSEERIMINE

• Hindamisel tuleb järgida ühiseid kriteeriume, ühist hindamismetoodikat ja kohaldatavaid tehnika taset käsitlevaid dokumente.
• Sertifitseerimine kõrgemal usaldusväärsuse tasemel (AVA_VAN.4 või AVA_VAN.5) tuleb reeglina läbi viia tehniliste valdkondade või kaitseprofiilide alusel, mis on vastu võetud tehnika taset käsitlevate dokumentidena ja mis on loetletud I lisas.
• Sertifitseerimismenetluse toetamiseks peavad taotlejad esitama põhjalikud dokumendid, sealhulgas eelnevad hindamistulemused, kui see on asjakohane.
• Sertifitseerimisasutused annavad sertifikaadid välja, kui kõik tingimused on täidetud. Need sertifikaadid sisaldavad VII lisas kirjeldatud konkreetset teavet.
• Riiklikud küberturvalisuse sertifitseerimise kavad peavad olema kooskõlas EUCC nõuetega ja nende õiguslik toime lõpeb 12 kuud pärast käesoleva määruse jõustumist. Selle aja jooksul algatatud riiklik sertifitseerimine tuleb lõpule viia 24 kuu jooksul pärast jõustumist.
• Sertifikaadid
  • kehtivad kuni viis aastat ja seda võib pärast heakskiitmist pikendada;
  • vaadatakse korrapäraselt läbi, et tagada vastavus turvanõuetele;
  • tunnistatakse kehtetuks, kui sertifitseeritud toode ei vasta enam nõutavatele standarditele või kui esineb märkimisväärseid mittevastavusi.

KAITSEPROFIILIDE SERTIFITSEERIMINE

Kaitseprofiilidega kehtestatakse konkreetsete IKT-tootekategooriate turvanõuded. Nende profiilide

• hindamine toimub sarnaselt IKT-toodetega, tagades nende vastavuse konkreetsetele IKT-kategooriatele vajalikele turvanõuetele;
• sertifitseerimise viivad läbi riiklikud küberturvalisuse sertifitseerimisasutused, akrediteeritud avaliku sektori asutused või sertifitseerimisasutus, kui see on eelnevalt heaks kiidetud.

MÄRGISED JA SILDID

• Sertifitseeritud toodetel võib olla märgis ja silt, mis näitavad nende sertifikaadi seisundit.
• Need peavad olema selgelt nähtavad ja sisaldama näiteks teavet usaldusväärsuse taseme kohta, kordumatut identifitseerimisnumbrit ja ruutkoodi lingiga sertifitseerimisteabega veebilehele.

VASTAVUSHINDAMISASUTUSED

• Sertifitseerimisasutused ja infotehnoloogia turvalisuse hindamise üksused peavad olema akrediteeritud kooskõlas määrusega (EÜ) nr 765/2008 (vt kokkuvõte) ning kõrge usaldusväärsuse taseme korral peab olema saanud loa riiklikelt küberturvalisuse sertifitseerimise asutustelt.
• Riiklikud küberturvalisuse sertifitseerimise asutused teevad järelevalvet sertifitseerimisasutuste, infotehnoloogia turvalisuse hindamise üksuste ja sertifikaatide omanike üle. Samuti tegelevad nad kaebustega ning viivad läbi nõuetele mittevastavuse uurimisi.
• Nõuetele mittevastavatele toodetele tuleb kohaldada parandusmeetmeid ning sertifikaate võib peatada või tunnistada kehtetuks, kui probleeme ei lahendata.
• Sertifitseerimisasutused, kes annavad välja usaldusväärsuse kõrge tasemega sertifikaate, peavad korrapäraselt läbima vastastikuseid hindamisi, et tagada sertifitseerimistavade järjepidevus ja kõrge tase.
• Euroopa küberturvalisuse sertifitseerimise rühmal on otsustav roll kava täitmisel, tehnika taset käsitlevate dokumentide heaks kiitmisel ning nende pideva asjakohasuse ja tõhususe tagamisel.

TURVANÕRKUSTE HALDAMINE JA AVALIKUSTAMINE

• Sertifikaadi omanikud peavad kehtestama turvanõrkuste haldamise ja avalikustamise menetlused, tegema turvanõrkuse mõju analüüse ning teavitama sertifitseerimisasutusi ja ametiasutusi märkimisväärsetest turvanõrkustest.
• Teave kehtetuks tunnistatud sertifikaatide kohta tuleb avaldada asjaomastes andmebaasides, tagades läbipaistvuse teadaolevate nõrkuste kohta.

TEABE SÄILITAMINE JA KAITSE

• Sertifitseerimisasutused ja infotehnoloogia turvalisuse hindamise üksused peavad säilitama andmeid hindamiste ja sertifitseerimise kohta vähemalt viis aastat pärast sertifikaadi kehtetuks tunnistamist.
• Kõik sertifitseerimisprotsessis osalevad pooled peavad kaitsma konfidentsiaalset teavet ja ärisaladusi.

VASTASTIKUSE TUNNUSTAMISE LEPINGUD KOLMANDATE RIIKIDEGA

• Kolmandad riigid saavad vastastikuse tunnustamise lepingute kaudu tunnustada EUCC sertifikaate tingimusel, et nad vastavad järelevalve ja turvanõrkuste haldamise kriteeriumidele.

MIS AJAST MÄÄRUST KOHALDATAKSE?

Seda kohaldatakse alates 27. veebruarist 2025.

TAUST

Lisateave

• ELi küberturvalisuse sertifitseerimine (Euroopa Liidu Küberturvalisuse Amet)
• Küberturvalisuse sertifitseerimisraamistik (Euroopa Liidu Küberturvalisuse Amet)

PÕHIMÕISTED

PÕHIDOKUMENT

Komisjoni 31. jaanuari 2024. aasta rakendusmäärus (EL) 2024/482, millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava (EUCC) vastuvõtmisega (ELT L, 2024/482, 7.2.2024)

SEONDUVAD DOKUMENDID

Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152)

Direktiivi (EL) 2022/2555 järjestikused muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15–69)

Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta määrus (EL) 2019/1020 turujärelevalve ja toodete vastavuse kohta ning millega muudetakse direktiivi 2004/42/EÜ ja määruseid (EÜ) nr 765/2008 ja (EL) nr 305/2011 (ELT L 169, 25.6.2019, lk 1–44)

Vt konsolideeritud versioon.

Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30–47)

Vt konsolideeritud versioon.

Nõukogu 7. aprilli 1995. aasta soovitus 95/144/EÜ infotehnoloogia turvalisuse hindamise ühiste kriteeriumide kohta (EÜT L 93, 26.4.1995, lk 27–28)

Viimati muudetud: 01.07.2024