Európsky systém certifikácie kybernetickej bezpečnosti založený na spoločných kritériách (EUCC)

 

ZHRNUTIE K DOKUMENTU:

Vykonávacie nariadenie (EÚ) 2024/482 – pravidlá uplatňovania nariadenia (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách

AKÝ JE CIEĽ TOHTO NARIADENIA?

Toto vykonávacie nariadenie stanovuje pravidlá uplatňovania nariadenia (EÚ) 2019/881 (pozri zhrnutie), pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC).

EUCC je rámec na posudzovanie a certifikáciu kybernetickej bezpečnosti produktov informačných a komunikačných technológií(IKT) a profilov ochrany. Cieľom schémy je zabezpečiť, aby produkty IKT spĺňali prísne bezpečnostné normy prostredníctvom štruktúrovaného procesu, ktorého cieľom je zvýšiť kybernetickú bezpečnosť, dosiahnuť konzistentnosť v rámci Európskej únie (EÚ) a poskytnúť dôveryhodnú certifikáciu. Systém EUCC vychádza z Dohody skupiny vysokých úradníkov pre bezpečnosť informačných systémov (ďalej len „SOG-IS“) o vzájomnom uznávaní („MRA“) certifikátov hodnotenia bezpečnosti informačných technológií.

HLAVNÉ BODY

NORMY A METÓDY HODNOTENIA

• Schéma používa na hodnotenie spoločné kritériá (ISO/IEC 15408) a spoločnú metodiku hodnotenia (ISO/IEC 18045).
• Certifikačné orgány vydávajú certifikáty EUCC na dvoch stupňoch dôveryhodnosti: „pokročilé“ (úrovne AVA_VAN* 1 alebo 2) a „vysoké“ (úrovne AVA_VAN 3, 4 alebo 5). Úroveň zabezpečenia určuje hĺbku a prísnosť hodnotenia.
• Produkty IKT sú certifikované na základe ich bezpečnostných zámerov, ktoré môžu v prípade potreby obsahovať certifikovaný profil ochrany.
• Vlastné posúdenie zhody nie je v rámci systému EUCC povolené.

CERTIFIKÁCIA PRODUKTOV IKT

• Hodnotenia musia dodržiavať spoločné kritériá, spoločnú metodiku hodnotenia a platné dokumenty o súčasnom stave techniky.
• Certifikácia na vyšších úrovniach zabezpečenia (úrovne AVA_VAN 4 alebo 5) sa musí spravidla vykonávať na základe technických oblastí alebo profilov ochrany prijatých ako dokumenty o stave techniky a uvedených v prílohe I.
• Žiadatelia musia predložiť komplexnú dokumentáciuvrátane prípadných výsledkov predchádzajúceho hodnotenia na podporu procesu certifikácie.
• Certifikačné orgány vydávajú certifikáty, ak sú splnené všetky podmienky a tieto certifikáty obsahujú špecifické informácie uvedené v prílohe VII.
• Vnútroštátne systémy certifikácie kybernetickej bezpečnosti sa musia zosúladiť s EUCC a stratia účinnosť do 12 mesiacov od nadobudnutia účinnosti nariadenia. Vnútroštátny certifikačný proces, ktorý sa začal počas tohto obdobia, sa musí ukončiť do 24 mesiacov od nadobudnutia účinnosti.
• Certifikáty sú:
  • platné maximálne 5 rokov, s možnosťou predĺženia po schválení;
  • pravidelne posudzované s cieľom zabezpečiť trvalý súlad s bezpečnostnými požiadavkami;
  • odobraté, ak certifikovaný výrobok už nespĺňa požadované normy alebo ak sa vyskytli závažné nezhody.

CERTIFIKÁCIA PROFILOV OCHRANY

Profily ochrany stanovujú bezpečnostné požiadavky pre konkrétne kategórie produktov IKT. Tieto profily sú:

• hodnotené podobne ako produkty IKT, čím sa zabezpečí, že spĺňajú potrebné bezpečnostné požiadavky pre konkrétne kategórie IKT;
• certifikované vnútroštátnymi certifikačnými orgánmi pre kybernetickú bezpečnosť alebo akreditovanými verejnými orgánmi, alebo certifikačným orgánom po predchádzajúcom schválení.

OZNAČOVANIE A ETIKETOVANIE

• Certifikované výrobky môžu byť označené značkou a etiketou, na ktorých je uvedený ich stav certifikácie.
• Musia byť jasne viditeľné a musia obsahovať podrobnosti, ako je úroveň zabezpečenia, jedinečné identifikačné číslo a QR kód odkazujúci na informácie o certifikácii.

ORGÁNY POSUDZOVANIA ZHODY

• Certifikačné orgány a zariadenia na hodnotenie bezpečnosti informačných technológií (ITSEF) musia byť akreditované v súlade s nariadením (ES) č. 765/2008 (pozri zhrnutie) a v prípade vysokých úrovní zabezpečenia musia byť autorizované vnútroštátnymi certifikačnými orgánmi pre kybernetickú bezpečnosť.
• Vnútroštátne certifikačné orgány pre kybernetickú bezpečnosť monitorujú súlad certifikačných orgánov, ITSEF a držiteľov certifikátov. Taktiež vybavujú sťažnosti a vykonávajú vyšetrovanie nezhôd.
• Pre výrobky, ktoré nie sú v zhode, sa musia prijať nápravné opatrenia a ak sa problémy nevyriešia, certifikáty sa môžu pozastaviť alebo odobrať.
• Certifikačné orgány, ktoré vydávajú certifikáty pre vysoké úrovne, musia prechádzať pravidelným partnerským preskúmaním, aby sa zabezpečila konzistentnosť a vysoké štandardy certifikačných postupov.
• Európska skupina pre certifikáciu kybernetickej bezpečnosti zohráva kľúčovú úlohu pri udržiavaní systému, schvaľovaní najmodernejších dokumentov a zabezpečovaní trvalej relevantnosti a účinnosti.

RIADENIE ZRANITEĽNOSTÍ A ZVEREJŇOVANIE INFORMÁCIÍ

• Držitelia certifikátov musia zaviesť postupy na riadenie zraniteľností a zverejňovanie informácií, vykonávať analýzy vplyvu zraniteľností a oznamovať významné zraniteľnosti certifikačným orgánom a úradom.
• Odobraté certifikáty musia byť zverejnené v príslušných databázach, čím sa zabezpečí transparentnosť známych zraniteľností.

UCHOVÁVANIE A OCHRANA INFORMÁCIÍ

• Certifikačné orgány a ITSEF musia uchovávať záznamy o hodnoteniach a certifikátoch najmenej 5 rokov po odobratí certifikátu.
• Všetky strany zapojené do procesu certifikácie musia chrániť dôverné informácie a obchodné tajomstvá.

DOHODY O VZÁJOMNOM UZNÁVANÍ S KRAJINAMI MIMO EÚ

• Krajiny mimo EÚ môžu uznávať certifikáty EUCC prostredníctvom dohôd o vzájomnom uznávaní za predpokladu, že spĺňajú kritériá monitorovania, dohľadu a riadenia zraniteľnosti.

ODKEDY SA NARIADENIE UPLATŇUJE?

Uplatňuje sa od 27. februára 2025.

KONTEXT

Ďalšie informácie:

• Certifikácia kybernetickej bezpečnosti EÚ (Agentúra Európskej únie pre kybernetickú bezpečnosť)
• Rámec certifikácie kybernetickej bezpečnosti (Agentúra Európskej únie pre kybernetickú bezpečnosť).

HLAVNÉ POJMY

HLAVNÝ DOKUMENT

Vykonávacie nariadenie Komisie (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Ú. v. EÚ L, 2024/482, 7.2.2024).

SÚVISIACE DOKUMENTY

Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80 – 152).

Následné zmeny smernice (EÚ) 2022/2555 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.

Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69).

Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/1020 z 20. júna 2019 o dohľade nad trhom a súlade výrobkov a o zmene smernice 2004/42/ES a nariadení (ES) č. 765/2008 a (EÚ) č. 305/2011 (Ú. v. EÚ L 169, 25.6.2019, s. 1 – 44).

Pozri konsolidované znenie.

Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30 – 47).

Pozri konsolidované znenie.

Odporúčanie Rady 95/144/ES zo 7. apríla 1995 o spoločných kritériách hodnotenia bezpečnosti informačných technológií (Ú. v. EÚ L 93, 26.4.1995, s. 27 – 28).

Posledná aktualizácia 01.07.2024