Yhteisiin kriteereihin perustuva eurooppalainen kyberturvallisuuden sertifiointijärjestelmä (EUCC)
TIIVISTELMÄ ASIAKIRJASTA:
Täytäntöönpanoasetus (EU) 2024/482 – vapaaehtoisen yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä annetun asetuksen (EU) 2019/881 soveltamissäännöt
ASETUKSEN TARKOITUS
Tässä täytäntöönpanoasetuksessa vahvistetaan asetuksen (EU) 2019/881 (ks. tiivistelmä) soveltamista koskevat säännöt yhteisiin kriteereihin perustuvaa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää (EUCC) varten.
EUCC muodostaa kehyksen tieto- ja viestintätekniikan tuotteiden ja suojausprofiilien kyberturvallisuuden arvioinnille ja sertifioinnille. Järjestelmällä pyritään varmistamaan, että tieto- ja viestintätekniikan tuotteet täyttävät tiukat turvallisuusvaatimukset jäsennellyllä prosessilla, jonka tavoitteena on parantaa kyberturvallisuutta, saavuttaa johdonmukaisuus koko Euroopan unionissa (EU) ja tarjota luotettava sertifiointi. EUCC perustuu johtavien virkamiesten tietoturvallisuusryhmän (”SOG-IS”) tietotekniikan tuotteiden turvallisuusarviointitodistusten vastavuoroista tunnustamista koskevaan sopimukseen (”MRA”).
TÄRKEIMMÄT KOHDAT
ARVIOINTISTANDARDIT JA -MENETELMÄT
- Järjestelmässä käytetään yhteisiä kriteerejä (ISO/IEC 15408) ja yhteisiä arviointimenetelmiä (ISO/IEC 18045) arviointien tekemiseen.
- Sertifiointielimet myöntävät EUCC-sertifikaatteja kahdella varmuustasolla: ”korotettu” (tasot AVA_VAN* 1 tai 2) ja ”korkea” (tasot AVA_VAN 3, 4 tai 5). Varmuustaso määrittää arvioinnin kattavuuden ja tiukkuuden.
- Tieto- ja viestintätekniikan tuotteet sertifioidaan niiden turvatavoitteiden mukaisesti, ja niihin voi tarvittaessa sisältyä sertifioitu suojausprofiili.
- Vaatimustenmukaisuuden itsearviointia ei sallita EUCC-järjestelmässä.
TIETO- JA VIESTINTÄTEKNIIKAN TUOTTEIDEN SERTIFIOINTI
- Arvioinneissa on noudatettava yhteisiä kriteerejä, yhteisiä arviointimenetelmiä ja sovellettavia viimeisintä kehitystä edustavia asiakirjoja.
- Sertifiointi korkeammilla varmuustasoilla (AVA_VAN-tasot 4 tai 5) on suoritettava pääsääntöisesti teknisten osa-alueiden tai viimeisintä kehitystä edustaviksi asiakirjoiksi hyväksyttyjen suojausprofiilien perusteella.
- Hakijoiden on toimitettava sertifiointiprosessin tueksi kattava dokumentaatio, mukaan lukien mahdolliset aiemmat arviointitulokset.
- Sertifiointielimet myöntävät sertifikaatteja, jos kaikki edellytykset täyttyvät, ja näihin sertifikaatteihin sisältyvät liitteessä VII esitetyt erityiset tiedot.
- Kansallisten kyberturvallisuuden sertifiointijärjestelmien on oltava yhdenmukaisia EUCC:n kanssa ja lakattava tuottamasta oikeusvaikutuksia 12 kuukauden kuluessa asetuksen voimaantulosta. Kyseisenä aikana käynnistetty kansallinen sertifiointiprosessi on saatettava päätökseen 24 kuukauden kuluessa voimaantulosta.
- Sertifikaatit:
- ovat voimassa enintään viisi vuotta ja voimassaoloa voidaan jatkaa, jos siihen annetaan hyväksyntä
- arvioidaan säännöllisesti turvallisuusvaatimusten jatkuvan noudattamisen varmistamiseksi;
- peruutetaan, jos sertifioitu tuote ei enää täytä vaadittuja vaatimuksia tai jos siihen sisältyy merkittäviä vaatimustenvastaisuuksia.
SUOJAUSPROFIILIEN SERTIFIOINTI
Suojausprofiileissa vahvistetaan turvallisuusvaatimukset tietyille tieto- ja viestintätekniikan tuoteluokille. Nämä profiilit:
- on arvioitava vastaavasti kuin tieto- ja viestintätekniikan tuotteet varmistaen, että ne täyttävät tiettyjä tieto- ja viestintätekniikan luokkia koskevat tarvittavat turvallisuusvaatimukset
- ovat kansallisten kyberturvallisuussertifioinnin myöntävien viranomaisten tai akkreditoitujen julkisten elinten tai sertifiointielimen sertifioimia etukäteen annetun hyväksynnän perusteella.
MERKIT JA MERKINNÄT
- Sertifioiduissa tuotteissa voi olla merkki ja merkintä, joista käy ilmi niiden sertifiointia koskeva tila.
- Niiden on oltava selvästi näkyvillä, ja niissä on oltava muun muassa varmuustaso, yksilöllinen tunniste ja QR-koodi, josta on linkki sertifiointitietoihin.
VAATIMUSTENMUKAISUUDEN ARVIOINTILAITOKSET
- Sertifiointielimet ja tietotekniikan turvallisuuden arviointilaitokset (ITSEF) on akkreditoitava asetuksen (EY) N:o 765/2008 (ks. tiivistelmä) mukaisesti, ja korkean varmuustason osalta kansallisten kyberturvallisuuden sertifiointiviranomaisten on hyväksyttävä ne.
- Kansalliset kyberturvallisuuden sertifiointiviranomaiset seuraavat sertifiointielinten, ITSEFin ja sertifikaatin haltijoiden velvoitteiden noudattamista. Ne myös käsittelevät valituksia ja suorittavat vaatimustenvastaisuuteen liittyviä tutkimuksia.
- Vaatimustenvastaisille tuotteille on toteutettava korjaavia toimenpiteitä, ja sertifikaattien voimassaolo voidaan keskeyttää tai peruuttaa, jos ongelmia ei ratkaista.
- Korkean varmuustason sertifikaatteja myöntävien sertifiointielinten on suoritettava säännöllisiä vertaisarviointeja sertifiointikäytäntöjen johdonmukaisuuden ja korkeiden standardien varmistamiseksi.
- Euroopan kyberturvallisuuden sertifiointiryhmällä on ratkaiseva rooli järjestelmän ylläpitämisessä, viimeisintä kehitystä edustavien asiakirjojen hyväksymisessä ja jatkuvan merkityksellisyyden ja tuloksellisuuden varmistamisessa.
HAAVOITTUVUUKSIEN HALLINTA JA JULKISTAMINEN
- Sertifikaattien haltijoiden on laadittava haavoittuvuuksien hallinta- ja julkistamismenettelyt, tehtävä haavoittuvuutta koskevia vaikutusanalyyseja ja raportoitava merkittävistä haavoittuvuuksista sertifiointielimille ja -viranomaisille.
- Peruutetut sertifikaatit on julkistettava asiaankuuluvissa tietokannoissa, jotta varmistetaan tunnettujen haavoittuvuuksien avoimuus.
TIETOJEN SÄILYTTÄMINEN JA SUOJELU
- Sertifiointielinten ja ITSEFin on pidettävä kirjaa arvioinneista ja sertifioinneista vähintään viiden vuoden ajan sertifikaatin peruuttamisen jälkeen.
- Kaikkien sertifiointiprosessiin osallistuvien on suojattava luottamukselliset tiedot ja liikesalaisuudet.
VASTAVUOROISTA TUNNUSTAMISTA KOSKEVAT SOPIMUKSET EU:N ULKOPUOLISTEN MAIDEN KANSSA
- EU:n ulkopuoliset maat voivat tunnustaa EUCC-sertifikaatit vastavuoroista tunnustamista koskevilla sopimuksilla edellyttäen, että ne täyttävät seurantaa, valvontaa ja haavoittuvuuksien hallintaa koskevat kriteerit.
MISTÄ ALKAEN ASETUSTA SOVELLETAAN?
Sitä sovelletaan 27. helmikuuta 2025 alkaen.
TAUSTAA
Ks. lisätietoja:
KESKEISET TERMIT
Taso AVA_VAN. Haavoittuvuusanalyysin taso, joka ilmaisee, minkä asteisesti kyberturvallisuuden arviointitoimia on suoritettu sen määrittämiseksi, minkä tasoinen on kyky vastustaa virheiden tai heikkouksien potentiaalista hyväksikäyttöä arvioinnin kohteessa sen toimintaympäristössä siten kuin yhteisissä kriteereissä on määritelty.
ASIAKIRJA
Komission täytäntöönpanoasetus (EU) 2024/482, annettu 31 päivänä tammikuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 soveltamissäännöistä siltä osin kuin on kyse yhteisiin kriteereihin perustuvan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän (EUCC) hyväksymisestä (EUVL L, 2024/482, 7.2.2024).
MUUT ASIAAN LIITTYVÄT ASIAKIRJAT
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80–152).
Direktiiviin (EU) 2022/2555 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15–69).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/1020, annettu 20 päivänä kesäkuuta 2019, markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta (EUVL L 169, 25.6.2019, s. 1–44).
Ks. konsolidoitu toisinto.
Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30–47).
Ks. konsolidoitu toisinto.
Neuvoston suositus 95/144/EY, annettu 7 päivänä huhtikuuta 1995, yleisistä tietotekniikan turvallisuuden arviointiperusteista (EYVL L 93, 26.4.1995, s. 27–28).
Viimeisin päivitys: 01.07.2024