Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)

    Date of last review:
    01/07/2024
    Author:
    Az Európai Unió Kiadóhivatala
    Responsible entity(ies):
    A Tartalmak, Technológiák és Kommunikációs Hálózatok Főigazgatósága
    Summarised document(s):

    A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)

     

    ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

    (EU) 2024/482 végrehajtási rendelet a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer elfogadása tekintetében az (EU) 2019/881 rendelet alkalmazására vonatkozó szabályok megállapításáról

    MI A RENDELET CÉLJA?

    Ez a végrehajtási rendelet szabályokat állapít meg az (EU) 2019/881 rendelet (lásd az összefoglalót) alkalmazására vonatkozóan, a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) tekintetében.

    Az EUCC az információs és kommunikációs technológiai (IKT) termékek, valamint védelmi profilok kiberbiztonságának értékelését és tanúsítását szolgáló keretrendszer. A rendszer célja annak biztosítása egy strukturált folyamat útján, hogy az IKT-termékek szigorú biztonsági előírásoknak feleljenek meg. Ennek célja a kiberbiztonság fokozása, következetesség elérése az egész Európai Unióban (EU) és megbízható tanúsítás nyújtása. Az EUCC az információs rendszerek biztonságával foglalkozó vezető tisztviselői csoport („SOG-IS”) információtechnológiai biztonsági tanúsítványokra vonatkozó kölcsönös elismerési megállapodására épül.

    FŐBB PONTOK

    ÉRTÉKELÉSI SZABVÁNYOK ÉS MÓDSZEREK

    • Az értékeléshez a rendszer a közös kritériumokat ISO/IEC 15408) és a közös értékelési módszertant (ISO/IEC 18045) használja.
    • A tanúsító szervek az EUCC-tanúsítványokat két megbízhatósági szinten bocsájtják ki: „jelentős megbízhatósági szint ” (AVA_VAN* 1. vagy 2. szint) és „magas” (AVA_VAN 3., 4. vagy 5. szint). A megbízhatósági szint az értékelés alaposságát és szigorúságát jelzi.
    • Az IKT-termékeket a biztonsági céljaiknak megfelelően tanúsítják (ez adott esetben tanúsított védelmi profilt is magában foglalhat).
    • Az EUCC rendszerben önértékelés nem engedélyezhető.

    AZ IKT-TERMÉKEK TANÚSÍTÁSA

    • Az értékelést a közös kritériumok, a közös értékelési módszertan és a technika állásának megfelelő alkalmazandó dokumentumok alapján kell elvégezni.
    • A magasabb megbízhatósági szintű tanúsítást (AVA_VAN 4. vagy 5. szint) főszabályként a műszaki területek alapján vagy a technika állásának megfelelő dokumentumokként elfogadott és az I. mellékletben felsorolt dokumentumok alapján kell elvégezni.
    • A tanúsítási folyamat támogatása érdekében a kérelmezőknek átfogó dokumentációt kell biztosítaniuk, adott esetben a korábbi értékelés eredményeit is beleértve.
    • Ha minden feltétel teljesül, a tanúsító szervek tanúsítványokat állítanak ki, melyek tartalmazzák a VII. mellékletben meghatározott konkrét információkat.
    • A nemzeti kiberbiztonsági tanúsítási rendszerek összhangban állnak az EUCC rendszerrel, és az e rendelet hatálybalépését követő 12 hónap elteltével hatályukat vesztik. Az ezen időszak alatt megkezdett nemzeti tanúsítási eljárásokat a hatálybalépést követő 24 hónapon belül le kell zárni.
    • A tanúsítványok:
      • érvényességi ideje 5 év, amely jóváhagyást követően meghosszabbítható;
      • rendszeres felülvizsgálaton esnek át, a biztonsági követelményeknek való folyamatos megfelelés biztosítása érdekében;
      • visszavonására kerül sor, ha a tanúsított termék már nem felel meg az előírt szabványoknak, vagy jelentős nem megfelelőségek állnak fenn.

    A VÉDELMI PROFILOK TANÚSÍTÁSA

    A védelmi profilok bizonyos IKT-termékkategóriákra vonatkozó biztonsági követelményeket határoznak meg. E profilokat:

    • az IKT-termékek értékeléséhez hasonlóan értékelik, hogy megfeleljenek az egyes IKT-kategóriákra nézve előírt szükséges biztonsági követelményeknek;
    • nemzeti kiberbiztonsági tanúsító hatóság vagy valamely más, tanúsító szervként akkreditált közjogi szerv, vagy előzetes jóváhagyását követően valamely tanúsító szerv tanúsítja.

    JELÖLÉSEK ÉS CÍMKÉK ALKALMAZÁSA

    • A tanúsított termékeket címkével és jelöléssel is elláthatják, amely jelzi tanúsítási státuszukat.
    • Ezeknek világosan láthatónak kell lenniük, és olyan részletes adatokat kell tartalmazniuk, mint például a megbízhatósági szint, az egyedi azonosító szám és a tanúsítási információkra mutató QR-kód.

    MEGFELELŐSÉGÉRTÉKELŐ SZERVEZETEK.

    • A tanúsító szerveket és az információtechnológiai biztonságértékelő intézeteknek (ITSEF) a 765/2008/EK rendelettel (lásd az összefoglalót) összhangban akkreditálják, magas megbízhatósági szintek esetén pedig a nemzeti kiberbiztonsági tanúsító hatóságok engedélyezik.
    • A nemzeti kiberbiztonsági tanúsító hatóságok nyomon követik a tanúsító szerveknek, az információtechnológiai biztonságértékelő intézeteknek és a tanúsítványok jogosultjainak a megfelelőségét. Ezenkívül a panaszokkal is foglalkoznak, és vizsgálják a nem megfelelőséget.
    • A nem megfelelő termékeket korrekciós intézkedéseknek kell alávetni. Ha a problémák továbbra is fennállnak, a tanúsítványok felfüggeszthetők vagy visszavonhatók.
    • A magas megbízhatósági szinten EUCC-tanúsítványokat kiállító tanúsító szerveket rendszeres szakértői értékelésnek kell alávetni, melynek célja a tanúsítási gyakorlatok következetességének és magas színvonalának biztosítása.
    • Az európai kiberbiztonsági tanúsítási csoport fontos szerepet játszik a rendszer karbantartásában, a technika állásának megfelelő dokumentumok jóváhagyásában, valamint a folyamatos relevancia és eredményesség biztosításában.

    SEBEZHETŐSÉGKEZELÉS ÉS KÖZZÉTÉTEL

    • A tanúsítvány jogosultjainak a sebezhetőségek kezelését és közzétételét szolgáló eljárásokat kell bevezetniük, sebezhetőségi hatásvizsgálatot kell végezniük, és a jelentős mértékű sebezhetőségekről jelentést kell tenniük a tanúsító szervek és hatóságok felé.
    • A visszavont tanúsítványokat közzé kell tenni a vonatkozó adatbázisokban, biztosítva az átláthatóságot az ismert sebezhetőségekre vonatkozóan.

    AZ INFORMÁCIÓK TÁROLÁSA ÉS VÉDELME

    • A tanúsító szervek és az ITSEF-ek a tanúsítvány visszavonását követő 5 évig megőrzik az értékeléseket és tanúsításokat.
    • A tanúsítási folyamatban részt vevő valamennyi félnek meg kell védenie a bizalmas információkat és az üzleti titkokat.

    KÖLCSÖNÖS ELISMERÉSI MEGÁLLAPODÁSOK NEM UNIÓS ORSZÁGOKKAL

    • A nem uniós országok kölcsönös elismerési megállapodásokon keresztül ismerhetik el az EUCC-tanúsítványokat, feltéve, hogy megfelelnek a nyomon követésre, a felügyeletre és a sebezhetőség kezelésére vonatkozó kritériumoknak.

    MIKORTÓL ALKALMAZANDÓ A RENDELET?

    A rendelet 2025. február 27. óta hatályos.

    HÁTTÉR

    További információk:

    KULCSFOGALMAK

    AVA_VAN szint. A megbízhatóságra irányuló sebezhetőségi elemzés egyik szintje, amely jelzi az annak érdekében elvégzett kiberbiztonsági értékelési tevékenységek mértékét, hogy a közös kritériumokban foglaltak szerint meghatározzák az értékelés tárgyának az üzemeltetési környezetben jelentkező hiányosságok vagy gyengeségek lehetséges kihasználhatóságával szembeni ellenálló képességének szintjét.

    FŐ DOKUMENTUM

    A Bizottság (EU) 2024/482 végrehajtási rendelete (2024. január 31.) a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében az (EU) 2019/881 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/482, 2024.2.7.)

    KAPCSOLÓDÓ DOKUMENTUMOK

    Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80–152. o.)

    Az (EU) 2022/2555 irányelv későbbi módosításait belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

    Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)

    Az Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról (HL L 169., 2019.6.25., 1–44. o.)

    Lásd az egységes szerkezetbe foglalt változatot.

    Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30–47. o.)

    Lásd az egységes szerkezetbe foglalt változatot.

    A Tanács 95/144/EK ajánlása (1995. április 7.) az információtechnológia biztonságának közös értékelési kritériumairól (HL L 93., 1995.4.26., 27–28. o.).

    utolsó frissítés 01.07.2024

    Top