Vienotos kritērijos balstīta Eiropas kiberdrošības sertifikācijas shēma (EUCC)

 

KOPSAVILKUMS:

Īstenošanas Regula (ES) 2024/482 par to, kā vienotos kritērijos balstītas Eiropas kiberdrošības sertifikācijas shēmas pieņemšanas sakarā piemērojama Regula (ES) 2019/881

KĀDS IR ŠĪS REGULAS MĒRĶIS?

Šajā īstenošanas regulā ir izklāstīti Regulas (ES) 2019/881 (skatīt kopsavilkumu) piemērošanas noteikumi attiecībā uz vienotos kritērijos balstītas Eiropas kiberdrošības sertifikācijas shēmu (EUCC).

EUCC ir shēma informācijas un komunikāciju tehnoloģiju (IKT) produktu kiberdrošības un aizsardzības profilu izvērtēšanai un sertificēšanai. Shēmas mērķis ir nodrošināt IKT produktu atbilstību stingriem drošības standartiem, izmantojot strukturētu procesu, lai uzlabotu kiberdrošību, panāktu konsekvenci visā Eiropas Savienībā (ES) un nodrošinātu uzticamu sertifikāciju. EUCC balstās uz Vecāko amatpersonu grupas informācijas sistēmu drošības jautājumos (“SOG-IS”) informācijas tehnoloģiju drošības sertifikātu savstarpējās atzīšanas nolīgumu (“MRA”).

SVARĪGĀKIE ASPEKTI

IZVĒRTĒŠANAS STANDARTI UN METODES

• Izvērtēšanai saskaņā ar šo shēmu izmanto vienotos kritērijus (ISO/IEC 15408) un vienoto izvērtēšanas metodiku (ISO/IEC 18045).
• Sertifikācijas struktūras izdod EUCC sertifikātus divos apliecinājuma līmeņos: “būtisks” (AVA_VAN* 1. vai 2. līmenis) un “augsts” (AVA_VAN 3., 4. vai 5. līmenis) Apliecinājuma līmenis nosaka izvērtējuma dziļumu un stingrību.
• IKT izstrādājuma sertificēšanu veic, ņemot vērā tā drošības mērķi, kas attiecīgā gadījumā var ietvert sertificētu aizsardzības profilu.
• Atbilstības pašnovērtēšana saskaņā ar EUCC shēmu nav atļauta.

IKT IZSTRĀDĀJUMU SERTIFIKĀCIJA

• Izvērtēšanā jāievēro vienotie kritēriji, vienotā vērtēšanas metodoloģija un piemērojamie aktuālie dokumenti.
• Sertifikācija augstākos apliecinājuma līmeņos (AVA_VAN 4. vai 5. līmenī) parasti jāveic, pamatojoties uz tehniskajām jomām vai aizsardzības profiliem, kas pieņemti kā aktuālie dokumenti un uzskaitīti I pielikumā.
• Lai pamatotu sertifikācijas procesu, pieteikuma iesniedzējiem jāiesniedz visaptveroša dokumentācija, tostarp attiecīgā gadījumā iepriekšējo izvērtējumu rezultāti.
• Sertifikācijas struktūras izdod sertifikātus, ja ir izpildīti visi nosacījumi, un šajos sertifikātos ir iekļauta īpaša informācija, kas izklāstīta VII pielikumā.
• Valstu kiberdrošības sertifikācijas shēmām ir jābūt salāgotām ar EUCC un jāpārtrauc radīt sekas 12 mēnešu laikā pēc regulas stāšanās spēkā. Šajā laikposmā uzsāktais valsts sertifikācijas process jāpabeidz 24 mēnešu laikā pēc regulas stāšanās spēkā.
• Sertifikāti ir:
  • derīgi ne ilgāk kā 5 gadus, un pastāv iespēja tos pagarināt pēc apstiprinājuma saņemšanas;
  • periodiski pārskatāmi, lai nodrošinātu pastāvīgu atbilstību drošības prasībām;
  • atsaucami, ja sertificētais produkts vairs neatbilst noteiktajiem standartiem vai ja ir būtiskas neatbilstības.

AIZSARDZĪBAS PROFILU SERTIFIKĀCIJA

Aizsardzības profili nosaka drošības prasības konkrētām IKT produktu kategorijām. Šos profilus:

• izvērtē līdzīgi kā IKT produktus, nodrošinot, ka tie atbilst konkrētām IKT kategorijām nepieciešamajām drošības prasībām;
• pēc iepriekšēja apstiprinājuma sertificē valsts kiberdrošības sertifikācijas iestādes, akreditētas publiskas struktūras, vai sertifikācijas struktūra.

ZĪME UN MARĶĒJUMS

• Sertificētiem produktiem var piestiprināt zīmi un marķējumu, kas norāda to sertifikācijas statusu.
• Tiem jābūt skaidri redzamiem, un uz tiem jābūt norādītai tādai informācijai kā apliecinājuma līmenis, unikālais identifikācijas numurs un QR kods, kas norāda saiti uz sertifikācijas informāciju.

ATBILSTĪBAS IZVĒRTĒŠANAS STRUKTŪRAS

• Sertifikācijas struktūrām un informācijas tehnoloģiju drošības novērtēšanas iekārtām (ITSEF) jābūt akreditētām saskaņā ar Regulu (EK) Nr. 765/2008 (skatīt kopsavilkumu), un attiecībā uz augstiem drošības līmeņiem tām jābūt valsts kiberdrošības sertifikācijas iestāžu apstiprinātām.
• Valsts kiberdrošības sertifikācijas iestādes uzrauga sertifikācijas iestāžu, ITSEF un sertifikātu turētāju atbilstību. Tās arī izskata sūdzības un veic neatbilstību izmeklēšanu.
• Neatbilstošiem ražojumiem jāveic korektīvi pasākumi, un, ja problēmas netiek atrisinātas, sertifikātu darbību var apturēt vai anulēt.
• Lai nodrošinātu sertifikācijas prakses konsekvenci un augstus standartus, sertifikācijas struktūrām, kas izsniedz augsta apliecinājuma līmeņa sertifikātus, regulāri jāveic salīdzinošā izvērtēšana.
• Eiropas Kiberdrošības sertifikācijas grupai ir izšķiroša loma shēmas uzturēšanā, apstiprinot aktuālos dokumentus un nodrošinot pastāvīgu atbilstību un efektivitāti.

VĀRĪGO VIETU PĀRVALDĪBA UN UZRĀDĪŠANA

• Sertifikātu turētājiem ir jāizveido vārīgo vietu pārvaldības un uzrādīšanas procedūras, jāveic vārīgo vietu ietekmes analīzi un par nozīmīgām vārīgām vietām jāziņo sertifikācijas struktūrām un iestādēm.
• Atsauktie sertifikāti ir jāuzrāda attiecīgajās datubāzēs, nodrošinot pārredzamību par zināmajām vārīgajām vietām.

INFORMĀCIJAS GLABĀŠANA UN AIZSARGĀŠANA

• Sertifikācijas struktūrām un ITSEF izvērtējumu un sertifikātu ieraksti ir jāglabā vismaz piecus gadus pēc sertifikāta atsaukšanas.
• Visām sertifikācijas procesā iesaistītajām pusēm ir jāaizsargā konfidenciāla informācija un komercnoslēpumi.

SAVSTARPĒJAS ATZĪŠANAS NOLĪGUMI AR TREŠĀM VALSTĪM

• Trešās valstis var atzīt EUCC sertifikātus, noslēdzot savstarpējas atzīšanas nolīgumus, ja tās atbilst uzraudzības, pārraudzības un neaizsargāto vietu pārvaldības kritērijiem.

KOPŠ KURA LAIKA REGULA IR PIEMĒROJAMA?

To piemēro no 2025. gada 27. februāra.

KONTEKSTS

Plašāka informācija:

• ES kiberdrošības sertifikācija (Eiropas Savienības Kiberdrošības aģentūra)
• ES kiberdrošības regulējums (Eiropas Savienības Kiberdrošības aģentūra)

GALVENIE NOTEIKUMI

PAMATDOKUMENTS

Komisijas Īstenošanas Regula (ES) 2024/482 (2024. gada 31. janvāris) par to, kā vienotos kritērijos balstītas Eiropas kiberdrošības sertifikācijas shēmas (EUCC) pieņemšanas sakarā piemērojama Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (OV L, 2024/482, 7.2.2024.).

SAISTĪTIE DOKUMENTI

Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80.–152. lpp.).

Direktīvas (ES) 2022/2555 turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.

Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15.–69. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2019/1020 (2019. gada 20. jūnijs) par tirgus uzraudzību un produktu atbilstību un ar ko groza Direktīvu 2004/42/EK un Regulas (EK) Nr. 765/2008 un (ES) Nr. 305/2011 (OV L 169, 25.6.2019., 1.–44. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (EK) Nr. 765/2008 (2008. gada 9. jūlijs), ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30.–47. lpp.).

Skatīt konsolidēto versiju.

Padomes Ieteikums 95/144/EK (1995. gada 7. aprīlis) par vienotiem informācijas tehnoloģiju drošības izvērtēšanas kritērijiem (OV L 93, 26.4.1995., 27.–28. lpp.).

Pēdējo reizi atjaunots: 01.07.2024