Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024R0482

    Europejski programu certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC)

    Data ostatniego przeglądu:
    01/07/2024
    Początkowa data utworzenia:
    26/07/2024
    Streszczone dokumenty:
    Autor:
    Urząd Publikacji Unii Europejskiej
    Podmiot(-y) odpowiedzialny(-e):
    Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii

    Europejski programu certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC)

     

    STRESZCZENIE DOKUMENTU:

    Rozporządzenie wykonawcze (UE) 2024/482 ustanawiające zasady stosowania rozporządzenia (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC)

    JAKIE SĄ CELE ROZPORZĄDZENIA?

    Rozporządzenie wykonawcze ustanawia zasady stosowania rozporządzenia (UE) 2019/881 (zob. streszczenie)w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC).

    EUCC to ramy oceny i certyfikacji cyberbezpieczeństwa produktów i technologii informacyjno-komunikacyjnych (TIK) oraz profili zabezpieczeń. Celem programu jest zapewnienie, że produkty TIK spełniają rygorystyczne standardy bezpieczeństwa dzięki zastosowaniu rygorystycznych procedur, które mają na celu zwiększenie cyberbezpieczeństwa, osiągnięcie spójności w całej Unii Europejskiej (UE) i zapewnienie wiarygodnej certyfikacji. EUCC opiera się na umowie o wzajemnym uznawaniu („MRA”) certyfikatów bezpieczeństwa technologii informacyjnych zatwierdzonej przez Grupę Wyższych Urzędników ds. Bezpieczeństwa Systemów Informatycznych („SOG-IS”)

    KLUCZOWE ZAGADNIENIA

    NORMY I METODY OCENY

    • Program wykorzystuje do oceny wspólne kryteria (ISO/IEC 15408) i wspólną metodologię oceny (ISO/IEC 18045).
    • Jednostki certyfikujące wydają certyfikaty EUCC obejmujące dwa poziomy uzasadnienia zaufania: „istotny” (poziomy AVA_VAN* 1 oraz 2) i „wysoki” (poziomy AVA_VAN 3, 4 oraz 5). Poziom uzasadnienia zaufania wpływa na zakres oraz dokładność oceny.
    • Produkty TIK są certyfikowane pod kątem ich celów bezpieczeństwa, które w stosownych przypadkach mogą obejmować certyfikowany profil zabezpieczen.
    • Samoocena zgodności nie jest dozwolona w ramach systemu EUCC.

    CERTYFIKACJA PRODUKTÓW TIK

    • Oceny muszą być zgodne ze wspólnymi kryteriami, wspólną metodologią oceny i najnowszymi wersjami obowiązujących dokumentów.
    • Certyfikacja na wyższych poziomach uzasadnienia zaufania (poziomach AVA_VAN 4 lub 5) musi być zasadniczo przeprowadzana na podstawie dokumentów odzwierciedlających stan wiedzy właściwych dla danej domeny technicznej lub w szczególnych profilach zabezpieczeń przyjętych jako dokument odzwierciedlający stan wiedzy wymienionych w Załączniku I.
    • Wnioskodawca ubiegający się o certyfikat EUCC powinien przedstawić kompletną dokumentację obejmującą wyniki poprzednich ocen, aby wspierać proces oceny.
    • Jednostki certyfikujące wydają certyfikaty, jeśli stwierdzą zgodność ze wszystkimi warunkami. Certyfikaty zawierają szczegółowe informacje określone w Załączniku VII.
    • Krajowe programy certyfikacji cyberbezpieczeństwa muszą zostać dostosowane do wymogów EUCC i przestają być skuteczne po upływie 12 miesięcy od wejścia w życie rozporządzenia. Procesy certyfikacji rozpoczęte w tym okresie muszą zostać zakończone nie później niż 24 miesiące po wejściu w życie rozporządzenia.
    • Certyfikaty:
      • są ważne przez okres do 5 lat, a w przypadku uzyskania zgody ich okres ważności może zostać przedłużony;
      • są okresowo weryfikowane w celu zapewnienia zgodności z wymaganiami w zakresie bezpieczeństwa;
      • są wycofywane jeśli certyfikowany produkt przestaje spełniać wymogi wynikające z norm lub gdy zostaną stwierdzone znaczące niezgodności.

    CERTYFIKACJA PROFILI ZABEZPIECZEŃ

    Profile zabezpieczeń określają wymogi bezpieczeństwa dla określonych kategorii produktów TIK. Profile:

    • są oceniane podobnie jak produkty TIK w celu zapewnienia, że spełniają one niezbędne wymogi bezpieczeństwa dla określonych kategorii TIK;
    • są certyfikowane przez krajowe organy odpowiedzialne za certyfikację cyberbezpieczeństwa lub akredytowane organy publiczne, lub też przez organ certyfikujący, po uprzednim zatwierdzeniu.

    ZNAKI I ETYKIETY

    • Certyfikowane produkty mogą być opatrzone znakiem i etykietą wskazującymi ich status certyfikacji.
    • Oznaczenia te muszą być wyraźnie widoczne i zawierać szczegółowe informacje, takie jak poziom certyfikacji, niepowtarzalny numer identyfikacyjny i kod QR odsyłający do informacji o certyfikacji.

    JEDNOSTKI OCENIAJĄCE ZGODNOŚĆ

    • Jednostki certyfikujące i jednostki oceniające bezpieczeństwo technologii informacyjnych (ITSEF) podlegają akredytacji zgodnie z rozporządzeniem (WE) nr 765/2008 (zob. streszczenie), a w przypadku wysokich poziomów uzasadnienia zaufania są autoryzowane przez krajowe organy ds. certyfikacji cyberbezpieczeństwa.
    • Krajowe organy ds. certyfikacji cyberbezpieczeństwa monitorują zgodność jednostek certyfikujących, ITSEF i posiadaczy certyfikatów. Zajmują się również skargami i prowadzą dochodzenia w sprawie niezgodności.
    • W przypadku stwierdzenia niezgodności produktu konieczne jest podjęcie działań zaradczych, a przyznane certyfikaty mogą zostać zawieszone lub wycofane w przypadku braku podjęcia stosownych działań.
    • Jednostki certyfikujące wydające certyfikaty wysokich poziomów uzasadnienia muszą przechodzić regularne wzajemne oceny, aby zapewnić spójność i wysokie standardy praktyk certyfikacyjnych.
    • Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa odgrywa kluczową rolę w utrzymaniu programu, zatwierdzaniu najnowocześniejszych dokumentów i zapewnianiu stałej przydatności i skuteczności.

    ZARZĄDZANIE PODATNOŚCIAMI I UJAWNIANIE INFORMACJI

    • Posiadacze certyfikatów muszą ustanowić procedury zarządzania podatnościami i udostępniania informacji na ich temat, przeprowadzania analiz ich wpływu oraz zgłaszania istotnych podatności jednostkom i organom certyfikującym.
    • Informacje o wycofanych certyfikatach muszą być publikowane w odpowiednich bazach danych, co gwarantuje przejrzystość informacji na temat znanych luk w zabezpieczeniach.

    GROMADZENIE I OCHRONA INFORMACJI

    • Jednostki certyfikujące i ITSEF muszą utrzymywać dokumentację ocen i certyfikacji przez co najmniej 5 lat od daty wycofaniu certyfikatu.
    • Wszystkie strony zaangażowane w proces certyfikacji muszą chronić poufne informacje i tajemnice handlowe.

    UMOWY O WZAJEMNYM UZNAWANIU Z PAŃSTWAMI NIENALEŻĄCYMI DO UE

    • Państwa nienależące do Unii Europejskiej mogą uznawać certyfikaty EUCC na mocy umów o wzajemnym uznawaniu, pod warunkiem spełnienia kryteriów dotyczących monitorowania, nadzoru i zarządzania podatnościami na zagrożenia.

    OD KIEDY ROZPORZĄDZENIE MA ZASTOSOWANIE?

    Rozporządzenie ma zastosowanie od 27 lutego 2025 r.

    KONTEKST

    Więcej informacji:

    KLUCZOWE POJĘCIA

    Poziom AVA_VAN. Poziom analizy podatności uzasadnienia zaufania, który wskazuje stopień działań w zakresie oceny cyberbezpieczeństwa przeprowadzanych w celu określenia poziomu odporności na potencjalne wykorzystanie wad lub słabych stron celu oceny w jego środowisku operacyjnym, jak określono we wspólnych kryteriach.

    GŁÓWNY DOKUMENT

    Rozporządzenie wykonawcze Komisji (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) (Dz.U. L, 2024/482 z 7.2.2024).

    DOKUMENTY POWIĄZANE

    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80–152).

    Kolejne zmiany dyrektywy (UE) 2022/2555 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15–69).

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1020 z dnia 20 czerwca 2019 r. w sprawie nadzoru rynku i zgodności produktów oraz zmieniające dyrektywę 2004/42/WE oraz rozporządzenia (WE) nr 765/2008 i (UE) nr 305/2011 (Dz.U. L 169 z 25.6.2019, s. 1–44).

    Zob. tekst skonsolidowany.

    Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30–47).

    Zob. tekst skonsolidowany.

    Zalecenie Rady 95/144/WE z dnia 7 kwietnia 1995 r. w sprawie wspólnych kryteriów oceny bezpieczeństwa technologii informacyjnych (Dz.U. L 93 z 26.4.1995, s. 27–28).

    Ostatnia aktualizacja: 01.07.2024

    Góra