A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)
ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:
(EU) 2024/482 végrehajtási rendelet a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer elfogadása tekintetében az (EU) 2019/881 rendelet alkalmazására vonatkozó szabályok megállapításáról
MI A RENDELET CÉLJA?
Ez a végrehajtási rendelet szabályokat állapít meg az (EU) 2019/881 rendelet (lásd az összefoglalót) alkalmazására vonatkozóan, a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) tekintetében.
Az EUCC az információs és kommunikációs technológiai (IKT) termékek, valamint védelmi profilok kiberbiztonságának értékelését és tanúsítását szolgáló keretrendszer. A rendszer célja annak biztosítása egy strukturált folyamat útján, hogy az IKT-termékek szigorú biztonsági előírásoknak feleljenek meg. Ennek célja a kiberbiztonság fokozása, következetesség elérése az egész Európai Unióban (EU) és megbízható tanúsítás nyújtása. Az EUCC az információs rendszerek biztonságával foglalkozó vezető tisztviselői csoport („SOG-IS”) információtechnológiai biztonsági tanúsítványokra vonatkozó kölcsönös elismerési megállapodására épül.
FŐBB PONTOK
ÉRTÉKELÉSI SZABVÁNYOK ÉS MÓDSZEREK
- Az értékeléshez a rendszer a közös kritériumokat ISO/IEC 15408) és a közös értékelési módszertant (ISO/IEC 18045) használja.
- A tanúsító szervek az EUCC-tanúsítványokat két megbízhatósági szinten bocsájtják ki: „jelentős megbízhatósági szint ” (AVA_VAN* 1. vagy 2. szint) és „magas” (AVA_VAN 3., 4. vagy 5. szint). A megbízhatósági szint az értékelés alaposságát és szigorúságát jelzi.
- Az IKT-termékeket a biztonsági céljaiknak megfelelően tanúsítják (ez adott esetben tanúsított védelmi profilt is magában foglalhat).
- Az EUCC rendszerben önértékelés nem engedélyezhető.
AZ IKT-TERMÉKEK TANÚSÍTÁSA
- Az értékelést a közös kritériumok, a közös értékelési módszertan és a technika állásának megfelelő alkalmazandó dokumentumok alapján kell elvégezni.
- A magasabb megbízhatósági szintű tanúsítást (AVA_VAN 4. vagy 5. szint) főszabályként a műszaki területek alapján vagy a technika állásának megfelelő dokumentumokként elfogadott és az I. mellékletben felsorolt dokumentumok alapján kell elvégezni.
- A tanúsítási folyamat támogatása érdekében a kérelmezőknek átfogó dokumentációt kell biztosítaniuk, adott esetben a korábbi értékelés eredményeit is beleértve.
- Ha minden feltétel teljesül, a tanúsító szervek tanúsítványokat állítanak ki, melyek tartalmazzák a VII. mellékletben meghatározott konkrét információkat.
- A nemzeti kiberbiztonsági tanúsítási rendszerek összhangban állnak az EUCC rendszerrel, és az e rendelet hatálybalépését követő 12 hónap elteltével hatályukat vesztik. Az ezen időszak alatt megkezdett nemzeti tanúsítási eljárásokat a hatálybalépést követő 24 hónapon belül le kell zárni.
- A tanúsítványok:
- érvényességi ideje 5 év, amely jóváhagyást követően meghosszabbítható;
- rendszeres felülvizsgálaton esnek át, a biztonsági követelményeknek való folyamatos megfelelés biztosítása érdekében;
- visszavonására kerül sor, ha a tanúsított termék már nem felel meg az előírt szabványoknak, vagy jelentős nem megfelelőségek állnak fenn.
A VÉDELMI PROFILOK TANÚSÍTÁSA
A védelmi profilok bizonyos IKT-termékkategóriákra vonatkozó biztonsági követelményeket határoznak meg. E profilokat:
- az IKT-termékek értékeléséhez hasonlóan értékelik, hogy megfeleljenek az egyes IKT-kategóriákra nézve előírt szükséges biztonsági követelményeknek;
- nemzeti kiberbiztonsági tanúsító hatóság vagy valamely más, tanúsító szervként akkreditált közjogi szerv, vagy előzetes jóváhagyását követően valamely tanúsító szerv tanúsítja.
JELÖLÉSEK ÉS CÍMKÉK ALKALMAZÁSA
- A tanúsított termékeket címkével és jelöléssel is elláthatják, amely jelzi tanúsítási státuszukat.
- Ezeknek világosan láthatónak kell lenniük, és olyan részletes adatokat kell tartalmazniuk, mint például a megbízhatósági szint, az egyedi azonosító szám és a tanúsítási információkra mutató QR-kód.
MEGFELELŐSÉGÉRTÉKELŐ SZERVEZETEK.
- A tanúsító szerveket és az információtechnológiai biztonságértékelő intézeteknek (ITSEF) a 765/2008/EK rendelettel (lásd az összefoglalót) összhangban akkreditálják, magas megbízhatósági szintek esetén pedig a nemzeti kiberbiztonsági tanúsító hatóságok engedélyezik.
- A nemzeti kiberbiztonsági tanúsító hatóságok nyomon követik a tanúsító szerveknek, az információtechnológiai biztonságértékelő intézeteknek és a tanúsítványok jogosultjainak a megfelelőségét. Ezenkívül a panaszokkal is foglalkoznak, és vizsgálják a nem megfelelőséget.
- A nem megfelelő termékeket korrekciós intézkedéseknek kell alávetni. Ha a problémák továbbra is fennállnak, a tanúsítványok felfüggeszthetők vagy visszavonhatók.
- A magas megbízhatósági szinten EUCC-tanúsítványokat kiállító tanúsító szerveket rendszeres szakértői értékelésnek kell alávetni, melynek célja a tanúsítási gyakorlatok következetességének és magas színvonalának biztosítása.
- Az európai kiberbiztonsági tanúsítási csoport fontos szerepet játszik a rendszer karbantartásában, a technika állásának megfelelő dokumentumok jóváhagyásában, valamint a folyamatos relevancia és eredményesség biztosításában.
SEBEZHETŐSÉGKEZELÉS ÉS KÖZZÉTÉTEL
- A tanúsítvány jogosultjainak a sebezhetőségek kezelését és közzétételét szolgáló eljárásokat kell bevezetniük, sebezhetőségi hatásvizsgálatot kell végezniük, és a jelentős mértékű sebezhetőségekről jelentést kell tenniük a tanúsító szervek és hatóságok felé.
- A visszavont tanúsítványokat közzé kell tenni a vonatkozó adatbázisokban, biztosítva az átláthatóságot az ismert sebezhetőségekre vonatkozóan.
AZ INFORMÁCIÓK TÁROLÁSA ÉS VÉDELME
- A tanúsító szervek és az ITSEF-ek a tanúsítvány visszavonását követő 5 évig megőrzik az értékeléseket és tanúsításokat.
- A tanúsítási folyamatban részt vevő valamennyi félnek meg kell védenie a bizalmas információkat és az üzleti titkokat.
KÖLCSÖNÖS ELISMERÉSI MEGÁLLAPODÁSOK NEM UNIÓS ORSZÁGOKKAL
- A nem uniós országok kölcsönös elismerési megállapodásokon keresztül ismerhetik el az EUCC-tanúsítványokat, feltéve, hogy megfelelnek a nyomon követésre, a felügyeletre és a sebezhetőség kezelésére vonatkozó kritériumoknak.
MIKORTÓL ALKALMAZANDÓ A RENDELET?
A rendelet 2025. február 27. óta hatályos.
HÁTTÉR
További információk:
KULCSFOGALMAK
AVA_VAN szint. A megbízhatóságra irányuló sebezhetőségi elemzés egyik szintje, amely jelzi az annak érdekében elvégzett kiberbiztonsági értékelési tevékenységek mértékét, hogy a közös kritériumokban foglaltak szerint meghatározzák az értékelés tárgyának az üzemeltetési környezetben jelentkező hiányosságok vagy gyengeségek lehetséges kihasználhatóságával szembeni ellenálló képességének szintjét.
FŐ DOKUMENTUM
A Bizottság (EU) 2024/482 végrehajtási rendelete (2024. január 31.) a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében az (EU) 2019/881 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/482, 2024.2.7.)
KAPCSOLÓDÓ DOKUMENTUMOK
Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80–152. o.)
Az (EU) 2022/2555 irányelv későbbi módosításait belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.
Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)
Az Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról (HL L 169., 2019.6.25., 1–44. o.)
Lásd az egységes szerkezetbe foglalt változatot.
Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30–47. o.)
Lásd az egységes szerkezetbe foglalt változatot.
A Tanács 95/144/EK ajánlása (1995. április 7.) az információtechnológia biztonságának közös értékelési kritériumairól (HL L 93., 1995.4.26., 27–28. o.).
utolsó frissítés 01.07.2024