Evropská komise přijala první celoevropské schéma certifikace kybernetické bezpečnosti v souladu s Aktem o kybernetické bezpečnosti EU. Toto schéma přináší soubor pravidel a postupů platných v celé Unii, které se týkají certifikace ICT (informační komunikační technologie) produktů v průběhu jejich životního cyklu a tím je činí důvěryhodnějšími pro uživatele.

Certifikace poskytuje formální uznání, že ICT produkty jsou důvěryhodné a schopné chránit jak hardware, tak software, které občané denně používají. Dobrovolné schéma doplní Akt o kybernetické odolnosti, který zavádí závazné požadavky na kybernetickou bezpečnost pro všechny hardware a software produkty v EU. Tento významný krok přispívá k posílení globálního digitálního vedení Evropy. Schéma také podpoří implementaci směrnice NIS2.

Rámec certifikace poskytne certifikační schémata platná v celé EU jako komplexní soubor pravidel, technických požadavků, norem a postupů. Bude založen na dohodě na úrovni EU ohledně hodnocení bezpečnostních vlastností konkrétního produktu nebo služby založené na ICT. Potvrdí, že ICT produkty a služby, které byly certifikovány v souladu s takovým schématem, splňují stanovené požadavky.

• kategorie produktů a služeb, které pokrývá;
• kybernetické bezpečnostní požadavky, jako jsou normy nebo technické specifikace;
• typ hodnocení, jako je sebehodnocení nebo hodnocení třetí stranou;
• zamýšlenou úroveň jistoty.

Úrovně jistoty se používají k informování uživatelů o kybernetickém riziku produktu a mohou být základní, podstatné a/nebo vysoké. Jsou přiměřené úrovni rizika spojeného se zamýšleným použitím produktu, služby nebo procesu z hlediska pravděpodobnosti a dopadu nehody. Vysoká úroveň jistoty by znamenala, že certifikovaný produkt prošel nejvyššími bezpečnostními testy.
Výsledný certifikát bude uznán ve všech členských státech EU, což usnadní obchodování podnikům přes hranice a kupujícím pochopení bezpečnostních funkcí produktu nebo služby. 

Ilustrační obrázek pro kybernetickou tématiku (Zdroj: Autor)

První schéma přijaté pod rámec certifikace Aktu o kybernetické bezpečnosti je založeno na mezinárodním standardu Common Criteria, který se používá k vydávání certifikátů v Evropě již téměř 30 let.

Schéma bude uplatňováno na dobrovolné bázi v celé EU a zaměří se na certifikaci kybernetické bezpečnosti ICT produktů v jejich životním cyklu: biometrické systémy, firewally (jak hardware, tak software), platformy pro detekci a reakci, routery, switche, specializovaný software (jako jsou systémy SIEM a IDS/IDP), datové diody, operační systémy (včetně mobilních zařízení), šifrované úložiště, databáze, stejně jako chytré karty a bezpečné prvky zahrnuté ve všech typech produktů, jako jsou pasy, které denně používají všichni občané.

Schéma bude brzy zveřejněno v Úředním věstníku EU a nabude účinnosti 20 dní po zveřejnění. Spolu s publikací certifikačního schématu v Úředním věstníku Komise zveřejní také první Unijní pracovní program pro evropskou certifikaci kybernetické bezpečnosti. Tento dokument stanovuje strategickou vizi a úvahy o možných oblastech pro budoucí evropská schémata certifikace kybernetické bezpečnosti s ohledem na nedávný legislativní a tržní vývoj.

Přijaté schéma je založeno na návrzích připravených Evropskou agenturou pro kybernetickou bezpečnost (ENISA) ve spolupráci s odborníky z průmyslu a členskými státy po technických a právních diskusích, stejně jako po veřejné konzultaci.