A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)

ÖSSZEFOGLALÓ AZ ALÁBBI DOKUMENTUMRÓL:

(EU) 2024/482 végrehajtási rendelet a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer elfogadása tekintetében az (EU) 2019/881 rendelet alkalmazására vonatkozó szabályok megállapításáról

MI A RENDELET CÉLJA?

Ez a végrehajtási rendelet szabályokat állapít meg az (EU) 2019/881 rendelet (lásd az összefoglalót) alkalmazására vonatkozóan, a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) tekintetében.

Az EUCC az információs és kommunikációs technológiai (IKT) termékek, valamint védelmi profilok kiberbiztonságának értékelését és tanúsítását szolgáló keretrendszer. A rendszer célja annak biztosítása egy strukturált folyamat útján, hogy az IKT-termékek szigorú biztonsági előírásoknak feleljenek meg. Ennek célja a kiberbiztonság fokozása, következetesség elérése az egész Európai Unióban (EU) és megbízható tanúsítás nyújtása. Az EUCC az információs rendszerek biztonságával foglalkozó vezető tisztviselői csoport („SOG-IS”) információtechnológiai biztonsági tanúsítványokra vonatkozó kölcsönös elismerési megállapodására épül.

FŐBB PONTOK

ÉRTÉKELÉSI SZABVÁNYOK ÉS MÓDSZEREK

Az értékeléshez a rendszer a közös kritériumokat ISO/IEC 15408) és a közös értékelési módszertant (ISO/IEC 18045) használja.
A tanúsító szervek az EUCC-tanúsítványokat két megbízhatósági szinten bocsájtják ki: „jelentős megbízhatósági szint ” (AVA_VAN* 1. vagy 2. szint) és „magas” (AVA_VAN 3., 4. vagy 5. szint). A megbízhatósági szint az értékelés alaposságát és szigorúságát jelzi.
Az IKT-termékeket a biztonsági céljaiknak megfelelően tanúsítják (ez adott esetben tanúsított védelmi profilt is magában foglalhat).
Az EUCC rendszerben önértékelés nem engedélyezhető.

AZ IKT-TERMÉKEK TANÚSÍTÁSA

Az értékelést a közös kritériumok, a közös értékelési módszertan és a technika állásának megfelelő alkalmazandó dokumentumok alapján kell elvégezni.
A magasabb megbízhatósági szintű tanúsítást (AVA_VAN 4. vagy 5. szint) főszabályként a műszaki területek alapján vagy a technika állásának megfelelő dokumentumokként elfogadott és az I. mellékletben felsorolt dokumentumok alapján kell elvégezni.
A tanúsítási folyamat támogatása érdekében a kérelmezőknek átfogó dokumentációt kell biztosítaniuk, adott esetben a korábbi értékelés eredményeit is beleértve.
Ha minden feltétel teljesül, a tanúsító szervek tanúsítványokat állítanak ki, melyek tartalmazzák a VII. mellékletben meghatározott konkrét információkat.
A nemzeti kiberbiztonsági tanúsítási rendszerek összhangban állnak az EUCC rendszerrel, és az e rendelet hatálybalépését követő 12 hónap elteltével hatályukat vesztik. Az ezen időszak alatt megkezdett nemzeti tanúsítási eljárásokat a hatálybalépést követő 24 hónapon belül le kell zárni.
A tanúsítványok:
- érvényességi ideje 5 év, amely jóváhagyást követően meghosszabbítható;
- rendszeres felülvizsgálaton esnek át, a biztonsági követelményeknek való folyamatos megfelelés biztosítása érdekében;
- visszavonására kerül sor, ha a tanúsított termék már nem felel meg az előírt szabványoknak, vagy jelentős nem megfelelőségek állnak fenn.

A VÉDELMI PROFILOK TANÚSÍTÁSA

A védelmi profilok bizonyos IKT-termékkategóriákra vonatkozó biztonsági követelményeket határoznak meg. E profilokat:

az IKT-termékek értékeléséhez hasonlóan értékelik, hogy megfeleljenek az egyes IKT-kategóriákra nézve előírt szükséges biztonsági követelményeknek;
nemzeti kiberbiztonsági tanúsító hatóság vagy valamely más, tanúsító szervként akkreditált közjogi szerv, vagy előzetes jóváhagyását követően valamely tanúsító szerv tanúsítja.

JELÖLÉSEK ÉS CÍMKÉK ALKALMAZÁSA

A tanúsított termékeket címkével és jelöléssel is elláthatják, amely jelzi tanúsítási státuszukat.
Ezeknek világosan láthatónak kell lenniük, és olyan részletes adatokat kell tartalmazniuk, mint például a megbízhatósági szint, az egyedi azonosító szám és a tanúsítási információkra mutató QR-kód.

MEGFELELŐSÉGÉRTÉKELŐ SZERVEZETEK.

A tanúsító szerveket és az információtechnológiai biztonságértékelő intézeteknek (ITSEF) a 765/2008/EK rendelettel (lásd az összefoglalót) összhangban akkreditálják, magas megbízhatósági szintek esetén pedig a nemzeti kiberbiztonsági tanúsító hatóságok engedélyezik.
A nemzeti kiberbiztonsági tanúsító hatóságok nyomon követik a tanúsító szerveknek, az információtechnológiai biztonságértékelő intézeteknek és a tanúsítványok jogosultjainak a megfelelőségét. Ezenkívül a panaszokkal is foglalkoznak, és vizsgálják a nem megfelelőséget.
A nem megfelelő termékeket korrekciós intézkedéseknek kell alávetni. Ha a problémák továbbra is fennállnak, a tanúsítványok felfüggeszthetők vagy visszavonhatók.
A magas megbízhatósági szinten EUCC-tanúsítványokat kiállító tanúsító szerveket rendszeres szakértői értékelésnek kell alávetni, melynek célja a tanúsítási gyakorlatok következetességének és magas színvonalának biztosítása.
Az európai kiberbiztonsági tanúsítási csoport fontos szerepet játszik a rendszer karbantartásában, a technika állásának megfelelő dokumentumok jóváhagyásában, valamint a folyamatos relevancia és eredményesség biztosításában.

SEBEZHETŐSÉGKEZELÉS ÉS KÖZZÉTÉTEL

A tanúsítvány jogosultjainak a sebezhetőségek kezelését és közzétételét szolgáló eljárásokat kell bevezetniük, sebezhetőségi hatásvizsgálatot kell végezniük, és a jelentős mértékű sebezhetőségekről jelentést kell tenniük a tanúsító szervek és hatóságok felé.
A visszavont tanúsítványokat közzé kell tenni a vonatkozó adatbázisokban, biztosítva az átláthatóságot az ismert sebezhetőségekre vonatkozóan.

AZ INFORMÁCIÓK TÁROLÁSA ÉS VÉDELME

A tanúsító szervek és az ITSEF-ek a tanúsítvány visszavonását követő 5 évig megőrzik az értékeléseket és tanúsításokat.
A tanúsítási folyamatban részt vevő valamennyi félnek meg kell védenie a bizalmas információkat és az üzleti titkokat.

KÖLCSÖNÖS ELISMERÉSI MEGÁLLAPODÁSOK NEM UNIÓS ORSZÁGOKKAL

A nem uniós országok kölcsönös elismerési megállapodásokon keresztül ismerhetik el az EUCC-tanúsítványokat, feltéve, hogy megfelelnek a nyomon követésre, a felügyeletre és a sebezhetőség kezelésére vonatkozó kritériumoknak.

MIKORTÓL ALKALMAZANDÓ A RENDELET?

A rendelet 2025. február 27. óta hatályos.

HÁTTÉR

További információk:

Uniós kiberbiztonsági tanúsítás (Európai Uniós Kiberbiztonsági Ügynökség)
Kiberbiztonsági tanúsítási rendszer (Európai Uniós Kiberbiztonsági Ügynökség)

KULCSFOGALMAK

AVA_VAN szint. A megbízhatóságra irányuló sebezhetőségi elemzés egyik szintje, amely jelzi az annak érdekében elvégzett kiberbiztonsági értékelési tevékenységek mértékét, hogy a közös kritériumokban foglaltak szerint meghatározzák az értékelés tárgyának az üzemeltetési környezetben jelentkező hiányosságok vagy gyengeségek lehetséges kihasználhatóságával szembeni ellenálló képességének szintjét.

FŐ DOKUMENTUM

A Bizottság (EU) 2024/482 végrehajtási rendelete (2024. január 31.) a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében az (EU) 2019/881 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/482, 2024.2.7.)

KAPCSOLÓDÓ DOKUMENTUMOK

Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80–152. o.)

Az (EU) 2022/2555 irányelv későbbi módosításait belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.

Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15–69. o.)

Az Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról (HL L 169., 2019.6.25., 1–44. o.)

Lásd az egységes szerkezetbe foglalt változatot.

Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30–47. o.)

Lásd az egységes szerkezetbe foglalt változatot.

A Tanács 95/144/EK ajánlása (1995. április 7.) az információtechnológia biztonságának közös értékelési kritériumairól (HL L 93., 1995.4.26., 27–28. o.).

utolsó frissítés 01.07.2024