Evropska certifikacijska shema za kibernetsko varnost na podlagi skupnih meril (EUCC)

 

POVZETEK:

Izvedbena uredba (EU) 2024/482 – pravila za uporabo Uredbe (EU) 2019/881 o sprejetju evropske certifikacijske sheme za kibernetsko varnost na podlagi skupnih meril

KAJ JE NAMEN TE UREDBE?

Ta izvedbena uredba določa pravila za uporabo Uredbe (EU) 2019/881 (glej povzetek) za evropsko certifikacijsko shemo kibernetske varnosti na podlagi skupnih meril (EUCC).

EUCC je okvir za ocenjevanje in certificiranje kibernetske varnosti izdelkov informacijske in komunikacijske tehnologije (IKT) ter zaščitnih profilov. Namen sheme je zagotoviti, da izdelki IKT izpolnjujejo stroge varnostne standarde s strukturiranim postopkom, katerega namen je izboljšati kibernetsko varnost, doseči doslednost po vsej Evropski uniji (EU) in zagotoviti zaupanja vredno certificiranje. EUCC temelji na sporazumu o vzajemnem priznavanju („MRA“) varnostnih certifikatov informacijske tehnologije skupine visokih uradnikov za varnost informacijskih sistemov („SOG-IS“).

KLJUČNE TOČKE

STANDARDI IN METODE VREDNOTENJA

• Shema za vrednotenja uporablja skupna merila (ISO/IEC 15408) in skupno metodologijo vrednotenja (ISO/IEC 18045).
• Certifikacijski organi izdajajo certifikate EUCC na dveh stopnjah zagotavljanja: „znatno“ (ravni AVA_VAN* 1 ali 2) in „visoko“ (ravni AVA_VAN 3, 4 ali 5). Raven zagotovila določa globino in strogost ocenjevanja.
• Izdelki IKT so certificirani glede na njihove varnostne cilje, ki lahko vključujejo certificiran zaščitni profil, če je primerno.
• Samoocenjevanje skladnosti ni dovoljeno po shemi EUCC.

CERTIFICIRANJE IZDELKOV IKT

• Ocenjevanja morajo upoštevati skupna merila, enotno metodologijo ocenjevanja in veljavne najsodobnejše dokumente.
• Certificiranje na višjih stopnjah zagotavljanja (ravni AVA_VAN 4 ali 5) mora biti praviloma izvedeno na podlagi tehničnih področij ali zaščitnih profilov, ki so sprejeti kot dokumenti o stanju tehnike in so navedeni v Prilogi I.
• Prosilci morajo predložiti izčrpno dokumentacijo, vključno s predhodnimi rezultati ocenjevanja, če je primerno, v podporo procesu certificiranja.
• Certifikacijski organi izdajo certifikate, če so izpolnjeni vsi pogoji, in ti certifikati vključujejo določene informacije, opisane v Prilogi VII.
• Nacionalne certifikacijske sheme za kibernetsko varnost morajo biti v skladu z EUCC in prenehati učinkovati v 12 mesecih po začetku veljavnosti uredbe. Nacionalni postopek certificiranja, ki se je začel v tem obdobju, je treba zaključiti v 24 mesecih po začetku veljavnosti.
• Certifikati:
  • veljajo do 5 let z možnostjo podaljšanja ob odobritvi;
  • se redno pregledujejo, da se zagotovi stalna skladnost z varnostnimi zahtevami;
  • se prekličejo, če certificirani proizvod ne izpolnjuje več zahtevanih standardov ali če obstajajo bistvene neskladnosti.

CERTIFICIRANJE ZAŠČITNIH PROFILOV

Zaščitni profili določajo varnostne zahteve za posebne kategorije izdelkov IKT. Ti profili so:

• ocenjeni podobno kot izdelki IKT, s čimer se zagotovi, da izpolnjujejo potrebne varnostne zahteve za posebne kategorije IKT;
• certificirani s strani nacionalnih certifikacijskih organov za kibernetsko varnost ali akreditiranih javnih organov ali certifikacijskega organa, po predhodni odobritvi.

OZNAČEVANJE IN ETIKETIRANJE

• Certificirani izdelki imajo lahko znak in nalepko, ki označujeta njihov certifikacijski status.
• Ti morajo biti jasno vidni in vsebovati podrobnosti, kot so raven zagotovila, edinstvena identifikacijska številka in koda QR s povezavo do podatkov o certifikatu.

ORGANI ZA UGOTAVLJANJE SKLADNOSTI

• Certifikacijski organi in zmogljivosti za ocenjevanje varnosti informacijske tehnologije (ITSEF) morajo biti akreditirani v skladu z Uredbo (ES) št. 765/2008 (glej povzetek) in za visoke ravni zagotovila imeti dovoljenje nacionalnih certifikacijskih organov za kibernetsko varnost.
• Nacionalni certifikacijski organi za kibernetsko varnost spremljajo skladnost certifikacijskih organov, ITSEF in imetnikov certifikatov. Obravnavajo tudi pritožbe in izvajajo preiskave neskladnosti.
• Za neskladne izdelke je treba izvesti popravne ukrepe, certifikati pa se lahko začasno prekinejo ali odvzamejo, če težave niso odpravljene.
• Certifikacijski organi, ki izdajajo certifikate visoke zanesljivosti, morajo biti podvrženi rednim medsebojnim ocenjevanjem, da se zagotovi doslednost in visoki standardi v praksah certificiranja.
• Evropska certifikacijska skupina za kibernetsko varnost ima ključno vlogo pri vzdrževanju sheme, potrjevanju dokumentov o stanju tehnike in zagotavljanju stalne ustreznosti in učinkovitosti.

UPRAVLJANJE RANLJIVOSTI IN RAZKRITJE

• Imetniki certifikatov morajo vzpostaviti postopke za upravljanje in razkrivanje ranljivosti, izvajati analize vpliva ranljivosti in poročati o pomembnih ranljivostih certifikacijskim organom in organom.
• Umaknjena potrdila je treba razkriti v ustreznih zbirkah podatkov, kar zagotavlja preglednost glede znanih ranljivosti.

HRANJENJE IN VAROVANJE INFORMACIJ

• Certifikacijski organi in ITSEF morajo hraniti evidenco ocenjevanja in certificiranja vsaj 5 let po preklicu certifikata.
• Vsi udeleženi v procesu certificiranja morajo varovati zaupne podatke in poslovne skrivnosti.

SPORAZUMI O MEDSEBOJNEM PRIZNAVANJU Z DRŽAVAMI, KI NISO ČLANICE EU

• Države, ki niso članice EU, lahko priznajo certifikate EUCC prek sporazumov o medsebojnem priznavanju, če izpolnjujejo merila za spremljanje, nadzor in obvladovanje ranljivosti.

OD KDAJ SE TA UREDBA UPORABLJA?

Uporablja se od 27. februarja 2025.

OZADJE

Več informacij je na voljo na strani:

• Certificiranje kibernetske varnosti EU (Agencija Evropske unije za kibernetsko varnost)
• Certifikacijski okvir za kibernetsko varnost (Agencija Evropske unije za kibernetsko varnost).

KLJUČNI POJMI

GLAVNI DOKUMENT

Izvedbena uredba Komisije (EU) 2024/482 z dne 31. januarja 2024 o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih (UL L, 2024/482, 7.2.2024).

POVEZANI DOKUMENTI

Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80–152).

Nadaljnje spremembe Direktive (EU) 2022/2555 so vključene v izvirno besedilo. Ta prečiščena različica ima samo dokumentarno vrednost.

Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15–69).

Uredba (EU) 2019/1020 Evropskega parlamenta in Sveta z dne 20. junija 2019 o nadzoru trga in skladnosti proizvodov ter spremembi Direktive 2004/42/ES in uredb (ES) št. 765/2008 in (EU) št. 305/2011 (UL L 169, 25.6.2019, str. 1–44).

Glej prečiščeno različico.

Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30–47).

Glej prečiščeno različico.

Priporočilo Sveta 95/144/ES z dne 7. aprila 1995 o skupnih merilih za ocenjevanje varnosti informacijske tehnologije (UL L 93, 26.4.1995, str. 27–28).

Zadnja posodobitev 01.07.2024