Europeisk Common Criteria-baserad ordning för cybersäkerhetscertifiering (EUCC)

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Genomförandeförordning (EU) 2024/482 – tillämpningsföreskrifter för förordning (EU) 2019/881 om antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering

VILKET SYFTE HAR FÖRORDNINGEN?

I denna genomförandeförordning fastställs tillämpningsföreskrifter för förordning (EU) 2019/881 (se sammanfattningen) för den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC).

EUCC är en ram för bedömning och certifiering av cybersäkerheten för produkter inom informations- och kommunikationsteknik (IKT) och skyddsprofiler. Syftet med ordningen är att säkerställa att IKT-produkter uppfyller stränga säkerhetsstandarder genom en strukturerad process som syftar till att öka cybersäkerheten, uppnå enhetlighet i hela Europeiska unionen (EU) och tillhandahålla tillförlitlig certifiering. EUCC bygger på det avtal om ömsesidigt erkännande (”MRA”) av säkerhetscertifikat för informationsteknik som överenskommits av gruppen av höga tjänstemän på informationssäkerhetsområdet (”SOG-IS”).

VIKTIGA PUNKTER

EVALUERINGSSTANDARDER OCH -METODER

Ordningen använder de gemensamma kriterierna (ISO/IEC 15408) och den gemensamma evalueringsmetodiken (ISO/IEC 18045) för evalueringar.
Certifieringsorgan utfärdar EUCC-certifikat på två assuransnivåer: ”betydande” (AVA_VAN-nivå* 1 eller 2) och ”hög” (AVA_VAN-nivå 3, 4 eller 5). Assuransnivån avgör hur ingående och strikt evalueringen är.
IKT-produkter certifieras mot sina säkerhetsmål, som i tillämpliga fall kan införliva en certifierad skyddsprofil.
Självbedömning av överensstämmelse är inte tillåtet enligt EUCC-ordningen.

CERTIFIERING AV IKT-PRODUKTER

Evalueringarna måste följa de gemensamma kriterierna, den gemensamma evalueringsmetodiken och tillämpliga mönsterdokument.
Certifiering på högre assuransnivå (AVA_VAN-nivå 4 eller 5) måste som regel utföras på grundval av teknikdomäner eller skyddsprofiler som antagits som mönsterdokument och förtecknas i bilaga I.
Sökanden ska tillhandahålla omfattande dokumentation, inklusive tidigare evalueringsresultat i förekommande fall, till stöd för certifieringsprocessen.
Certifieringsorgan utfärdar certifikat om alla villkor är uppfyllda, och dessa certifikat innehåller de särskilda uppgifter som anges i bilaga VII.
Nationella ordningar för cybersäkerhetscertifiering måste anpassas till EUCC och upphöra att ha verkan inom tolv månader efter förordningens ikraftträdande. En nationell certifieringsprocess som inleds under denna period måste slutföras inom 24 månader efter ikraftträdandet.
Certifikaten
- är giltiga i upp till fem år, med eventuella förlängningar efter godkännande,
- ses regelbundet över för att säkerställa att säkerhetskraven uppfylls fortlöpande,
- återkallas om den certifierade produkten inte längre uppfyller standarderna eller om det finns betydande avvikelser.

CERTIFIERING AV SKYDDSPROFILER

Skyddsprofiler fastställer säkerhetskrav för specifika IKT-produktkategorier. Dessa profiler

evalueras på liknande sätt som IKT-produkter för att säkerställa att de uppfyller de nödvändiga säkerhetskraven för specifika IKT-kategorier,
certifieras av nationella myndigheter för cybersäkerhetscertifiering eller ackrediterade offentliga organ eller ett certifieringsorgan efter förhandsgodkännande.

MÄRKNING OCH ETIKETTERING

Certifierade produkter får förses med ett märke och en etikett som anger deras certifieringsstatus.
Dessa måste vara klart synliga och innehålla uppgifter såsom assuransnivå, unikt identifieringsnummer och en QR-kod som kopplas till certifieringsinformationen.

ORGAN FÖR BEDÖMNING AV ÖVERENSSTÄMMELSE

Certifieringsorgan och faciliteter för utvärdering av informationsteknologisk säkerhet (ITSEF:er) måste vara ackrediterade i enlighet med förordning (EG) nr 765/2008 (se sammanfattningen) och, för hög assuransnivå, auktoriserade av nationella myndigheter för cybersäkerhetscertifiering.
Nationella myndigheter för cybersäkerhetscertifiering övervakar efterlevnaden av certifieringsorgan, ITSEF:er och certifikatinnehavare. De hanterar också klagomål och genomför utredningar om bristande överensstämmelse.
Produkter med bristande överensstämmelse måste genomgå avhjälpande åtgärder, och certifikaten kan upphävas eller återkallas om problemen inte åtgärdas.
Certifieringsorgan som utfärdar certifikat med hög assurans måste genomgå regelbundna sakkunnighetsbedömningar för att säkerställa enhetlighet och höga standarder i certifieringsmetoderna.
Den europeiska gruppen för cybersäkerhetscertifiering spelar en avgörande roll för att upprätthålla ordningen, godkänna mönsterdokument och säkerställa fortlöpande relevans och effektivitet.

SÅRBARHETSHANTERING OCH SÅRBARHETSINFORMATION

Certifikatinnehavare måste fastställa förfaranden för hantering och avslöjande av sårbarheter, genomföra sårbarhetsanalyser och rapportera betydande sårbarheter till certifieringsorgan och -myndigheter.
Återkallade certifikat måste offentliggöras i relevanta databaser för att säkerställa insyn i kända sårbarheter.

BEVARANDE OCH SKYDD AV UPPGIFTER

Certifieringsorgan och ITSEF:er måste föra register över evalueringar och certifieringar under minst fem år efter återkallandet av certifikat.
Alla parter som deltar i certifieringsprocessen måste skydda konfidentiella uppgifter och företagshemligheter.

AVTAL OM ÖMSESIDIGT ERKÄNNANDE MED LÄNDER UTANFÖR EU

Länder utanför EU kan erkänna EUCC-certifieringar genom avtal om ömsesidigt erkännande, förutsatt att de uppfyller kriterierna för övervakning, tillsyn och sårbarhetshantering.

VILKEN PERIOD GÄLLER FÖRORDNINGEN FÖR?

Den gäller från och med den 27 februari 2025.

BAKGRUND

Mer information finns här:

EU:s cybersäkerhetscertifiering (Europeiska unionens cybersäkerhetsbyrå)
Ramverket för cybersäkerhetscertifiering (Europeiska unionens cybersäkerhetsbyrå).

VIKTIGA BEGREPP

AVA_VAN-nivå. En sårbarhetsanalysnivå som anger graden av cybersäkerhetsevalueringsaktiviteter som utförts för att fastställa nivån av motståndskraft mot potentiella möjligheter att utnyttja fel eller svagheter hos evalueringsobjektet i dess operativa miljö i enlighet med Common Criteria.

HUVUDDOKUMENT

Kommissionens genomförandeförordning (EU) 2024/482 av den 31 januari 2024 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2019/881 vad gäller antagande av den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) (EUT L, 2024/482, 7.2.2024).

RELATERADE DOKUMENT

Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).

Fortlöpande ändringar av direktiv (EU) 2022/2555 har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.

Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (EUT L 169, 25.6.2019, s. 1).

Se den konsoliderade versionen.

Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

Se den konsoliderade versionen.

Rådets rekommendation 95/144/EG av den 7 april 1995 om gemensamma kriterier för utvärdering av informationsteknologisk säkerhet (EGT L 93, 26.4.1995, s. 27).

Senast ändrat 01.07.2024