Europski program kibersigurnosne certifikacije temeljen na zajedničkim kriterijima (EUCC)

SAŽETAK DOKUMENATA:

Provedba Uredbe (EU) 2024/482 – pravila za primjenu Uredbe (EU) 2019/881 o donošenju europskog programa kibersigurnosti koji se temelji na kriterijima

ČEMU SLUŽI OVA UREDBA?

Ovom se provedbenom uredbom utvrđuju pravila za primjenu Uredbe (EU) 2019/881 (vidjeti sažetak) za Europski zajednički program kibersigurnosne certifikacije temeljen na zajedničkim kriterijima (EUCC).

EUCC je okvir za procjenu i certifikaciju kibersigurnosti proizvoda i profila informacijske i komunikacijske tehnologije (IKT) te za zaštitu. Sustav ima za cilj osigurati da proizvodi IKT-a zadovoljavaju stroge sigurnosne standarde putem strukturiranog procesa u cilju povećanja kibersigurnosti, postizanja dosljednosti u Europskoj uniji (EU) i pružanja pouzdanog certificiranja. EUCC se nadovezuje na sporazum o uzajamnom priznavanju („MRA”) certifikata o sigurnosti informacijske tehnologije u okviru sigurnosti informacijskih sustava viših dužnosnika („SOGIS”).

KLJUČNE TOČKE

STANDARDI I METODE EVALUACIJE

Program primjenjuje zajedničke kriterije (ISO/IEC 15408) i zajedničku metodologiju evaluacije (ISO/IEC 18045) za evaluacije.
Tijela za certificiranje izdaju EUCC certifikate na dvije razine osiguranja: „znatna ”(AVA_VAN razine* 1 ili 2) i „visoke” (AVA_VAN razine 3, 4 ili 5). Razina osiguranja određuje dubinu i strogost evaluacije.
IKT proizvodi certificiraju se u odnosu na svoje sigurnosne ciljeve koji mogu uključivati certificirani profil zaštite ako je primjenjivo.
U okviru programa EUCC nije dopuštena samoprocjena sukladnosti.

CERTIFICIRANJE IKT PROIZVODA

Evaluacije moraju biti u skladu sa zajedničkim kriterijima, zajedničkim metodologijama evaluacije i primjenjivim dokumentima o stanju tehnike.
Certifikacija na višoj razini osiguranja (AVA_VAN razine 4 ili 5) mora se provesti u pravilu na temelju tehničkih područja ili profila zaštite koji su doneseni kao dokumenti o stanju tehnike i koji su navedeni u Prilogu I.
Podnositelji zahtjeva moraju za potporu postupku certificiranja dostaviti sveobuhvatnu dokumentaciju, uključujući prethodne rezultate evaluacije.
Tijela za certificiranje izdaju certifikate ako su ispunjeni svi uvjeti, a ti certifikati uključuju posebne informacije navedene u Prilogu VII.
Nacionalni programi kibersigurnosti moraju se uskladiti s EUCC-om i prestati proizvoditi učinke u roku od 12 mjeseci nakon što Uredba stupi na snagu. Nacionalni postupak certificiranja koji je pokrenut tijekom tog razdoblja mora se provesti u roku od 24 mjeseca nakon stupanja na snagu.
Za certifikate vrijedi sljedeće:
- na snazi su do pet godina, s mogućim produženjima na temelju odobrenja;
- redovito se pregledavaju kako bi se osigurala stalna usklađenost sa sigurnosnim zahtjevima;
- povlače se ako certificirani proizvod više ne ispunjava potrebne standarde ili ako postoje znatne nesukladnosti.

CERTIFIKACIJA ZAŠTITNIH PROFILA

U zaštitnim profilima utvrđuju se sigurnosni zahtjevi za određene kategorije IKT proizvoda. Za te profile vrijedi sljedeće:

procjenjuju se na sličan način kao IKT proizvodi, čime se osigurava da ispunjavaju potrebne sigurnosne zahtjeve za određene IKT kategorije;
certificiraju ih nacionalna tijela za kibersigurnost ili ovlaštena javna tijela ili certifikacijsko tijelo po prethodnom odobrenju.

OZNAKE I ETIKETE

Certificirani proizvodi mogu imati oznaku i etiketu u kojoj se navodi njihov certifikacijski status.
One moraju biti jasno vidljive i sadržavati pojedinosti kao što su razina osiguranja, jedinstveni identifikacijski broj i QR kod koji se odnosi na informacije o certifikaciji.

TIJELA ZA OCJENJIVANJE SUKLADNOSTI

Certifikacijska tijela i centri za evaluaciju sigurnosti informacijske tehnologije (ITSEF) moraju biti akreditirani u skladu s Uredbom (EZ) br. 765/2008 (vidjeti sažetak) te, za visoke razine osiguranja, ovlašteni od strane nacionalnih tijela za kibersigurnosnu certifikaciju.
Nacionalna tijela za kibersigurnosnu certifikaciju nadziru usklađenost tijela za certificiranje, ITSEF-ova i nositelja certifikata. Također obrađuju pritužbe i provode istrage o nesukladnosti.
Nesukladni proizvodi moraju se podvrgnuti korektivnim mjerama te se certifikati mogu obustaviti ili povući ako problemi nisu riješeni.
Tijela za certificiranje koja izdaju certifikate o visokoj razini osiguranja moraju se podvrgnuti redovitim stručnim procjenama kako bi se osigurali dosljednost i visoki standardi u postupcima certificiranja.
Europska skupina za kibersigurnosnu certifikaciju ima ključnu ulogu u provedbi programa, odobravanju dokumenata o stanju i učinkovitosti te osiguravanju neprestane važnosti i učinkovitosti.

UPRAVLJANJE OSJETLJIVOŠĆU I OTKRIVANJE

Nositelji certifikata moraju uspostaviti postupke za upravljanje i otkrivanje ranjivosti, provesti analize učinka osjetljivosti i prijavljivati značajne ranjivosti tijela za certificiranje.
Povlačeni certifikati moraju se objaviti u relevantnim bazama podataka, osiguravajući transparentnost o poznatim ranjivostima.

ZADRŽAVANJE I ZAŠTITA INFORMACIJA

Certifikacijska tijela i ITSEF-ovi moraju voditi evidenciju o evaluacijama i certifikatima najmanje pet godina nakon povlačenja certifikata.
Sve strane uključene u postupak certificiranja moraju zaštititi povjerljive informacije i poslovne tajne.

SPORAZUMI O UZAJAMNOM PRIZNAVANJU SA ZEMLJAMA KOJE NISU ČLANICE EU-A

Zemlje koje nisu članice EU-a mogu priznati EUCC certifikate putem sporazuma o uzajamnom priznavanju, pod uvjetom da ispunjavaju kriterije za praćenje, nadzor i upravljanje ranjivostima.

OTKAD SE OVA UREDBA PRIMJENJUJE?

Primjenjuje se od 27. veljače 2025.

POZADINA

Za više informacija vidjeti:

EU kibersigurnosna certifikacija (Agencija Europske unije za kibersigurnost)
Okvir za kibersigurnosnu certifikaciju (Agencija Europske unije za kibersigurnost).

KLJUČNI POJMOVI

AVA_VAN razina. Razine analize osjetljivosti na osiguranje u kojoj se navodi stupanj aktivnosti ocjenjivanja kibersigurnosti koje se provode kako bi se utvrdila razina otpornosti na moguće iskorištavanje nedostataka ili nedostataka u cilju evaluacije u operativnom okruženju kako je utvrđeno u zajedničkim kriterijima.

GLAVNI DOKUMENT

Provedbena uredba Komisije (EU) 2024/482 od 31. siječnja 2024. o utvrđivanju pravila za primjenu Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća u pogledu donošenja Europskog sustava kibersigurnosti na temelju kriterija (EUCC) (SL L 2024/482, 7.2.2024.).

VEZANI DOKUMENTI

Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80.–152.).

Naknadne izmjene i dopune Direktive (EU) 2022/2555 uključene su u izvorni tekst. Ovaj pročišćeni tekst namijenjen je isključivo dokumentiranju.

Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.–69.).

Uredba (EU) 2019/1020 Europskog parlamenta i Vijeća od 20. lipnja 2019. o nadzoru tržišta i sukladnosti proizvoda i o izmjeni Direktive 2004/42/EZ i uredbi (EZ) br. 765/2008 i (EU) br. 305/2011 (SL L 169, 25.6.2019., str. 1.–44.).

Vidjeti pročišćeni tekst.

Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.–47.).

Vidjeti pročišćeni tekst.

Preporuka Vijeća 95/144/EZ od 7. travnja 1995. o zajedničkim kriterijima za procjenu sigurnosti informacijskih tehnologija (SL L 93, 26.4.1995., str. 27.-28.).

Posljednje ažuriranje 01.07.2024