Skema taċ-ertifikazzjoni taċ-ċibersigurtà bbażata fuq kriterja komuni (EUCC)
SOMMARJU TA’:
Ir-Regolament ta’ implimentazzjoni (UE) 2024/482 — regoli għall-applikazzjoni ta’ Regolament (UE) 2019/881, dwar l-adozzjoni tal-iskema taċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà bbażata fuq kriterja komuni
X’INHU L-GĦAN TAR-REGOLAMENT?
Dan ir-regolament ta’ implimentazzjoni tistabbilixxi regoli għall-applikazzjoni ta’ Regolament (UE) 2019/881 (ara s-sommarju) għall-iskema taċ-ċertifikazzjoni Ewropea taċ-ċibersigurtà bbażata fuq kriterja komuni (EUCC),
L-EUCC hu qafas biex jassessja u jiċċertifika ċ-ċibersigurtà tal-prodotti u profili ta’ protezzjoni tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni (ICT). L-iskema timmira li tassikura li prodotti tal-ICT jissodisfaw l-istandards strinġenti ta’ sigurtà permezz ta’ proċess strutturat, li għandu l-għan li jtejjeb iċ-ċibersigurtà, jikseb konsistenza fl-Unjoni Ewropea (UE) kollha u jipprovdi ċertifikazzjoni affidabbli. L-EUCC tibni fuq il-ftehim ta’ rikonoxximent reċiproku (“MRA”) taċ-ċertifikati tas-sigurtà tat-teknoloġija tal-informazzjoni tas-Sigurtà tas-Sistemi tal-informazzjoni tal-Grupp ta’ Uffiċjali Anzjani (“SOG-IS”).
PUNTI EWLENIN
STANDARDS U METODI TA’ EVALWAZZJONI
- L-iskema tuża l-kriterja komuni (ISO/IEC 15408) u l-metodoloġija komuni ta’ evalwazzjoni (ISO/IEC, 18045) għal evalwazzjonijiet.
- Korpi ta’ ċertifikazzjoni joħorġu ċertifikati EUCC f’żewġ livelli ta’ assigurazzjoni: “Sostanzjali” (livelli AVA_VAN* 1 jew 2) u “għoli” (livelli AVA_VAN 3, 4 j32 5). Il-livell ta’ assigurazzjoni jiddetermina l-fond u r-rigorożità tal-evalwazzjoni.
- Prodotti ICT huma ċertifikati kontra l-miri ta’ sigurtà tagħhom, li jistgħu jinkorporaw profil ta’ protezzjoni ċertifikat jekk ikun applikabbli.
- Awtovalutazzjoni għal konformità mhux permessa taħt l-iskema EUCC.
ĊERTIFIKAZZJONI TA’ PRODOTTI ICT
- Evalwazzjonijiet iridu jaderixxu mal-kriterja komuni, il-metodoloġija komuni ta’ evalwazzjoni u d-dokumenti tal-ogħla livell ta’ żvilupp tekniku applikabbli.
- Ċertifikazzjoni fil-livelli ogħla tal-assigurazzjoni (livelli 4 jew 5 AVA_VAN) trid issir bħala regola abbażi ta’ dominji tekniċi jew profili ta’ protezzjoni adottati bħala dokumenti tal-ogħla livell ta’ żvilupp tekniku adottati u elenkati f’Anness I.
- L-applikanti jridu jipprovdu dokumentazzjoni komprensiva, inklużi riżultati ta’ evalwazzjoni preċedenti jekk applikabbli, biex jappoġġjaw il-proċess taċ-ċertifikazzjoni.
- Korpi ta’ ċertifikazzjoni joħorġu ċertifikati jekk il-kundizzjonijiet kollha jkunu sodisfatti, u dawn iċ-ċertifikati jinkludu l-informazzjoni speċifika mniżżla f’Anness VII.
- Skemi taċ-ċertifikazzjoni nazzjonali taċ-ċibersigurtà jridu jalinjaw mal-EUCC u ma jibqgħux jipproduċu effetti sa 12-il xahar mid-dħul fis-seħħ tar-regolament. Proċess taċ-ċertifikazzjoni nazzjonali li beda matul dak il-perjodu jrid jitlesta sa 24 xahar wara d-dħul fis-seħħ.
- Ċertifikati huma:
- validi sa 5 snin, b’estenzjonijiet possibbli wara approvazzjoni;
- rieżaminati perjodikament biex tkun assikurata l-konformità kontinwa mar-rekwiżiti tas-sigurtà;
- irtirati jekk il-prodott ċertifikat ma jibqax jissodisfa iktar l-istandards meħtieġa jew jekk ikun hemm nuqqas ta’ konformità sinifikanti.
ĊERTIFIKAZZJONI TA’ PROFILI TA’ PROTEZZJONI
Profili ta’ protezzjoni jistabbilixxu rekwiżiti ta’ sigurtà għal kategoriji speċifiċi ta’ prodotti ICT. Dawn il-profili huma:
- evalwati similarment għal prodotti ICT, biex jassikuraw li jissodisfaw ir-rekwiżiti bżonnjużi ta’ sigurtà għal kategoriji speċifiċi tal-ICT;
- ċertifikati minn awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jew korpi pubbliċi akkreditati, jew korp ta’ ċertifikazzjoni, wara approvazzjoni minn qabel.
IMMARKAR U TIKKETTAR
- Prodotti ċertifikati jista’ jkollhom marka u tikketta li tindika l-istatus ta’ ċertifikazzjoni tagħhom.
- Dawn iridu jkunu viżibbli b’mod ċar u jkollhom id-dettalji bħal l-livell tal-assikgurazzjoni, numru uniku ta’ identifikazzjoni u kodiċi QR marbuta mal-informazzjoni taċ-ċertifikazzjoni.
KORPI TA’ VALUTAZZJONI TAL-KONFORMITÀ
- Korpi taċ-ċertifikazzjoni u faċilitajiet tal-evalwazzjoni tas-sigurtà tat-teknoloġija tal-informazzjoni (ITSEFs) jridu jkunu akkreditati konformi ma’ Regolament (KE) Nru. 765/2008 (ara s-sommarju), u, għal livelli għolja ta’ assigurazzjoni, jkunu awtorizzati mill-awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà.
- Awtoritajiet nazzjonali taċ-ċertifikazzjoni taċ-ċibersigurtà jimmonitorjaw konformità ma’ korpi ta’ ċertifikazzjoni, ITSEFs, u detenturi ta’ ċertifikati. Dawn jiġġestjonaw ukoll ilmenti u jwettqu investigazzjonijiet f’nonkonformità.
- Prodotti li ma jikkonformawx jridu jgħaddu minn miżuri ta’ rimedju, u ċ-ċertifikati jistgħu jiġu sospiżi jew irtirati jekk il-kwistjonijiet ma jkunux solvuti.
- Korpi ta’ ċertifikazzjoni li joħorġu ċertifikazzjoni ta’ assigurazzjoni għolja jridu jgħaddu minn valutazzjonijiet regolari tal-pari biex ikun assikurati l-konsistenza u l-standards għolja fil-prattiċi taċ-ċertifikazzjoni.
- Il-Grupp Ewropew taċ-Ċertifikazzjoni taċ-Ċibersigurtà għandu rwol kruċjali fiż-żamma tal-iskema, japprova d-dokumenti tal-ogħla livell ta’ żvilupp teknoloġiku u biex jassikura r-rilevanza u effettività kontinwa.
ĠESTJONI U KXIF TA’ VULNERABBILTÀ
- Detenturi ta’ ċertifikati jridu jistabbilixxu proċeduri biex jiġġestjonaw u jikxfu vulnerabbiltajiet, iwettqu analiżi tal-impatt tal-vulnerabbiltà u jirrapportaw vulnerabbiltajiet sinifikanti lil korpi u awtoritajiet taċ-ċertifikazzjoni.
- Ċertifikati li jkunu rtirati jridu jkunu mniżżla f’bażijiet ta’ data rilevanti, biex jassikuraw trasparenza dwar vulnerabbiltajiet magħrufa.
ŻAMMA U PROTEZZJONI TA’ INFORMAZZJONI
- Korpi taċ-ċertifikazzjoni u ITSEFs jridu jżommu rekords tal-evalwazzjonijiet u ċertifikazzjonijiet għal tal-inqas 5 snin wara li ċ-ċertifikat ikun irtirat.
- Il-partijiet kollha involuti fil-proċess taċ-ċertifikazzjoni jridu jipproteġu l-informazzjoni kunfidenzjali u s-sigrieti tan-negozju.
FTEHIMIET TA’ RIKONOXXIMENT REĊIPROKU MA’ PAJJIŻI MHUX TAL-UE
- Pajjiżi mhux tal-UE jistgħu jirrikonoxxu ċertifikazzjonijiet EUCC permezz tal-ftehimiet ta’ rikonoxximent reċiproku, diment li jilħqu l-kriterja dwar il-monitoraġġ, is-superviżjoni, u l-ġestjoni tal-vulnerabbiltà.
MINN META BEDA JAPPLIKA R-REGOLAMENT?
Dan japplika mis-27 ta’ Frar 2025.
SFOND
Għal aktar informazzjoni, ara:
TERMINI EWLENIN
Livell AVA_VAN. Livell ta’ analiżi tal-assigurazzjoni tal-vulnerabbiltà li jindika l-grad ta’ attivitajiet tal-evalwazzjoni taċ-ċibersigurtà mwettqa biex jiddeterminaw il-livell ta’ reżistenza kontra sfruttament potenzjali ta’ difetti jew debolezzi fil-mira ta’ evalwazzjoni fl-ambjent operattiv kif stabilit fil-kriterja komuni.
DOKUMENT PRINĊIPALI
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2024/482 tal-31 ta’ Jannar 2024, li jistabbilixxi r-regoli għall-applikazzjoni tar-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-adozzjoni tal-iskema Ewropea taċ-ċertifikazzjoni taċ-ċibersigurtà bbażata fuq il-Kriterji Komuni (EUCC) (ĠU L., 2024/482, 7.2.2024).
DOKUMENTI RELATATI
Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (NIS 2 Direttiva) (ĠU L 333, 27.12.2022, pp. 80–152).
Emendi suċċessivi għad-Direttiva (UE) 2022/2555 ġew inkorporati fit-test oriġinali. Din il-verżjoni konsolidata għandha valur dokumentarju biss.
Ir-Regolament (UE) 2019/881 tal-Parlament Ewropew u tal-Kunsill tas-17 ta’ April 2019 dwar l-ENISA (l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà) u dwar iċ-ċertifikazzjoni taċ-ċibersigurtà tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u li jħassar ir-Regolament (UE) Nru 526/2013 (l-Att dwar iċ-Ċibersigurtà) (ĠU L 151, 7.6.2019, pp. 15–69).
Ir-Regolament (UE) 2019/1020 tal-Parlament Ewropew u tal-Kunsill tal-20 ta’ Ġunju 2019 dwar is-sorveljanza tas-suq u l-konformità tal-prodotti u li jemenda d-Direttiva 2004/42/KE u r-Regolamenti (KE) Nru 765/2008 u (UE) Nru 305/2011 (ĠU L 169, 25.6.2019, pp. 1–44).
Ara l-verżjoni konsolidata.
Ir-Regolament (UE) Nru 765/2008 tal-Parlament Ewropew u tal-Kunsill tad-9 ta’ Lulju 2008 li jistabbilixxi r-rekwiżiti għall-akkreditazzjoni u għas-sorveljanza tas-suq relatati mal-kummerċjalizzazzjoni ta’ prodotti, u li jħassar ir-Regolament tal-Kunsill (KEE) Nru 339/93 (ĠU L 218, 13.8.2008, pp. 30–47).
Ara l-verżjoni konsolidata.
Rakkomandazzjoni 95/144/KE tal-Kunsill tas-7 ta’ April 1995 dwar kriterja tal-evalwazzjoni tas-sigurtà tat-teknoloġija tal-informazzjoni komuni (ĠU L., 93, 26.4.1995, pp. 27–28).
l-aħħar aġġornament 01.07.2024