Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

    Sistemul european de certificare a securității cibernetice bazat pe criterii comune (EUCC)

    Date of last review:
    01/07/2024
    Author:
    Oficiul pentru Publicații al Uniunii Europene
    Responsible entity(ies):
    Direcția Generală Rețele de Comunicare, Conținut și Tehnologie
    Summarised document(s):

    Sistemul european de certificare a securității cibernetice bazat pe criterii comune (EUCC)

     

    SINTEZĂ PRIVIND:

    Regulamentul de punere în aplicare (UE) 2024/482 – norme pentru aplicarea Regulamentului (UE) 2019/881 privind adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune.

    CARE ESTE ROLUL ACESTUI REGULAMENT?

    Prezentul regulament de punere în aplicare stabilește normele de aplicare a Regulamentului (UE) 2019/881 (a se vedea sinteza) pentru sistemul european comun de certificare a securității cibernetice bazat pe criterii (EUCC).

    EUCC este un cadru pentru evaluarea și certificarea securității cibernetice a produselor din domeniul tehnologiei informației și comunicațiilor (TIC) și a profilurilor de protecție. Sistemul urmărește să garanteze că produsele TIC îndeplinesc standarde de securitate stricte printr-un proces structurat, cu scopul de a spori securitatea cibernetică, de a asigura coerența în întreaga Uniune Europeană (UE) și de a furniza o certificare de încredere. EUCC se bazează pe acordul de recunoaștere reciprocă („MRA”) a certificatelor de securitate informatică ale Grupului înalților funcționari pentru securitatea sistemelor informatice („SOG-IS”).

    ASPECTE-CHEIE

    STANDARDELE ŞI METODELE DE EVALUARE

    • Sistemul utilizează criteriile comune (ISO/IEC 15408) și metodologia comună de evaluare (ISO/IEC 18045) pentru evaluări.
    • Organismele de certificare eliberează certificate EUCC la două niveluri de asigurare: „substanțial” (niveluri AVA_VAN* 1 sau 2) și „ridicat” (niveluri AVA_VAN 3, 4 sau 5). Nivelul de asigurare determină amploarea și rigurozitatea evaluării.
    • Produsele TIC sunt certificate în funcție de obiectivele lor de securitate, care pot include un profil de protecție certificat, dacă este cazul.
    • Autoevaluarea conformității nu este permisă în cadrul sistemului EUCC.

    CERTIFICAREA PRODUSELOR TIC

    • Evaluările trebuie să respecte criteriile comune, metodologia comună de evaluare și documentele de ultimă generație aplicabile.
    • Certificarea la niveluri superioare de asigurare (nivelurile AVA_VAN 4 sau 5) trebuie efectuată, de regulă, pe baza domeniilor tehnice sau a profilurilor de protecție adoptate ca documente de ultimă generație și enumerate în anexa I.
    • Solicitanții trebuie să furnizeze o documentație completă, inclusiv rezultatele evaluărilor anterioare, dacă este cazul, pentru a susține procesul de certificare.
    • Organismele de certificare eliberează certificate dacă sunt îndeplinite toate condițiile, iar aceste certificate includ informațiile specifice descrise în anexa VII.
    • Sistemele naționale de certificare a securității cibernetice trebuie să se alinieze la EUCC și să înceteze să producă efecte în termen de 12 luni de la intrarea în vigoare a regulamentului. Un proces național de certificare început în această perioadă trebuie finalizat în termen de 24 de luni de la intrarea în vigoare.
    • Certificatele sunt:
      • valabile pentru o perioadă de până la cinci ani, cu posibile prelungiri după aprobare;
      • revizuite periodic pentru a asigura conformitatea continuă cu cerințele de securitate;
      • retrase dacă produsul certificat nu mai îndeplinește standardele impuse sau dacă există neconformități semnificative.

    CERTIFICAREA PROFILURILOR DE PROTECȚIE

    Profilurile de protecție stabilesc cerințe de securitate pentru anumite categorii de produse TIC. Aceste profiluri sunt:

    • evaluate în mod similar produselor TIC, asigurându-se că acestea îndeplinesc cerințele de securitate necesare pentru anumite categorii TIC;
    • certificate de autorități naționale de certificare a securității cibernetice sau de organisme publice acreditate, sau de un organism de certificare, cu aprobarea prealabilă.

    MĂRCILE ȘI ETICHETELE

    • Produsele certificate pot purta o marcă și o etichetă care indică statutul lor de certificare.
    • Acestea trebuie să fie clar vizibile și să conțină detalii precum nivelul de asigurare, numărul unic de identificare și un cod QR care face legătura cu informațiile de certificare.

    ORGANISME DE EVALUARE A CONFORMITĂȚII

    • Organismele de certificare și facilitățile de evaluare a securității tehnologiei informației (ITSEF) trebuie să fie acreditate în conformitate cu Regulamentul (CE) nr. 765/2008 (a se vedea sinteza) și, pentru niveluri ridicate de asigurare, autorizate de autoritățile naționale de certificare a securității cibernetice.
    • Autoritățile naționale de certificare a securității cibernetice monitorizează conformitatea organismelor de certificare, a ITSEF-urilor și a deținătorilor de certificate. De asemenea, acestea gestionează reclamațiile și efectuează investigații privind neconformitatea.
    • Produsele neconforme trebuie supuse unor măsuri de remediere, iar certificatele pot fi suspendate sau retrase dacă problemele nu sunt rezolvate.
    • Organismele de certificare care eliberează certificate de înaltă asigurare trebuie să se supună periodic unor evaluări inter pares pentru a asigura consecvența și standarde înalte în practicile de certificare.
    • Grupul european pentru certificarea securității cibernetice joacă un rol crucial în menținerea sistemului, aprobând documentele de ultimă generație și asigurând relevanța și eficacitatea continue.

    GESTIONAREA ȘI DIVULGAREA VULNERABILITĂȚILOR

    • Deținătorii de certificate trebuie să stabilească proceduri de gestionare și divulgare a vulnerabilităților, să efectueze analize ale impactului vulnerabilităților și să raporteze organismelor și autorităților de certificare vulnerabilitățile semnificative.
    • Certificatele retrase trebuie să fie publicate în bazele de date relevante, asigurând transparența cu privire la vulnerabilitățile cunoscute.

    PĂSTRAREA ȘI PROTEJAREA INFORMAȚIILOR

    • Organismele de certificare și ITSEF trebuie să păstreze înregistrările evaluărilor și certificărilor timp de cel puțin cinci ani după retragerea certificatului.
    • Toate părțile implicate în procesul de certificare trebuie să protejeze informațiile confidențiale și secretele de afaceri.

    ACORDURI DE RECUNOAȘTERE RECIPROCĂ CU ȚĂRI DIN AFARA UE

    • Țările din afara UE pot recunoaște certificările EUCC prin acorduri de recunoaștere reciprocă, cu condiția să îndeplinească criteriile privind monitorizarea, supravegherea și gestionarea vulnerabilității.

    DE CÂND SE APLICĂ REGULAMENTUL?

    Se aplică de la 27 februarie 2025.

    CONTEXT

    Pentru informații suplimentare, consultați:

    TERMENI-CHEIE

    Nivelul AVA_VAN. Un nivel de asigurare a analizei vulnerabilității care indică gradul activităților de evaluare a securității cibernetice desfășurate pentru a determina nivelul de rezistență împotriva exploatării potențiale a defectelor sau punctelor slabe ale obiectivului evaluării în mediul său operațional, astfel cum se prevede în criteriile comune.

    DOCUMENTUL PRINCIPAL

    Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului în ceea ce privește adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024).

    DOCUMENTE CONEXE

    Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, pp. 80-152).

    Modificările succesive aduse Directivei (UE) 2022/2555 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

    Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, pp. 15-69).

    Regulamentul (UE) 2019/1020 al Parlamentului European și al Consiliului din 20 iunie 2019 privind supravegherea pieței și conformitatea produselor și de modificare a Directivei 2004/42/CE și a Regulamentelor (CE) nr. 765/2008 și (UE) nr. 305/2011 (JO L 169, 25.6.2019, pp. 1-44).

    A se vedea versiunea consolidată.

    Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, pp. 30-47).

    A se vedea versiunea consolidată.

    Recomandarea 95/144/CE a Consiliului din 7 aprilie 1995 privind criteriile comune de evaluare a securității tehnologiei informației (JO L 93, 26.4.1995, pp. 27-28).

    Data ultimei actualizări: 01.07.2024

    Top