EN DA
compliance

EU Cybersecurity Act certifiering för säkra produkter

5 minuters läsning
EU Cybersecurity Act certifiering för säkra produkter

EU Cybersecurity Act stärker ENISA och etablerar certifieringssystem för produkter. Lär dig mer om det europeiska ramverket.

ENISA EU:s byrå för cybersäkerhet

Under Cybersecurity Act har ENISA fått ett utökat mandat som förser den med ytterligare resurser och nya uppgifter. ENISA:s huvudansvar är:

  1. Utveckling och underhåll av det europeiska cybersäkerhetscertifieringsramverket: ENISA förbereder det tekniska ramverket för specifika certifieringssystem.
  2. Offentlig kommunikation: ENISA informerar allmänheten om certifieringssystem och utfärdade certifikat via en dedikerad webbplats.
  3. Stöd vid hantering av cyberincidenter: ENISA främjar samarbete på EU-nivå och stöder medlemsstater i hantering av cyberincidenter, koordinerar responsen på storskaliga gränsöverskridande cyberattacker och kriser.

Ramverk för cybersäkerhetscertifieringar

Ramverket för cybersäkerhetscertifiering standardiserar cybersäkerhetspraxis över EU genom att sätta säkerhetsstandarder för ICT-produkter, tjänster och processer för att säkerställa en gemensam skyddsnivå. Ramverket delar certifiering i tre säkerhetsnivåer och beskriver ENISA:s roll såväl som mekanismerna för marknadsnalevanad. Det betonar också intressentengagemang, anpassas till internationella standarder och kan anpassas till det utvecklande cybersäkerhetslandskapet.

Europeiskt ramverk för cybersäkerhetscertifieringar

EU:s cybersäkerhetscertifieringsramverk syftar till att bygga förtroende och säkerhet kring produkter, tjänster och processer inom området informations- och kommunikationsteknik (ICT). Detta uppnås genom att utveckla certifieringssystem som bedömer säkerhetsnivån och överensstämmelsen för ICT-produkter, tjänster och processer.

Certifieringssystem

Ett certifieringssystem under Cybersecurity Act är ett omfattande ramverk avsett att säkerställa cybersäkerheten för ICT-produkter, tjänster och processer. Varje system inkluderar typiskt:

Styrande omfattning och tillämpbarhet

Information om vilka typer av ICT-produkter, tjänster och processer som omfattas.

Syfte med systemet

Hur de valda standarderna, bedömningskriterierna och säkerhetsnivåerna möter användarnas behov.

Hänvisningar till standarder

Internationella, europeiska eller nationella standarder som används för bedömning.

Säkerhetsnivåer

Definierade säkerhetsnivåer ("basic", "substantial", "high") baserade på risk.

Konformitetsbedömning

De specifika bedömningskriterierna och metoderna som används för att verifiera kraven.

Användningsvillkor

Villkor för utfärdande, underhåll och förnyelse av certifikat.

Övervakning

Regler för övervakning av konformitet samt hantering av bristande överensstämmelse och nyligen identifierade sårbarheter.

Genom att definiera dessa element ger ett certifieringssystem under CSA en strukturerad och pålitlig metod för att certifiera cybersäkerheten för ICT-produkter, tjänster och processer, vilket stärker förtroendet och säkerheten på den digitala marknaden.

Utveckling av certifieringssystem

Utvecklingen av certifieringssystem sker i flera steg:

  1. Begäran från EU-kommissionen eller medlemsstater: ENISA utvecklar utkast till certifieringssystem på begäran av EU-kommissionen eller medlemsstater.
  2. Expertstöd: ENISA arbetar nära med experter, ad hoc-arbetsgrupper (AHWG) och relevanta intressenter för att förbereda systemen.
  3. Offentlig konsultation: Utkast till system släpps för offentlig konsultation.
  4. Antagande av EU: Efter revision och slutlig koordinering antas systemet som en EU-rättsakt (Implementing Act).
  5. Implementering av medlemsstater: Efter antagandet har medlemsstaterna tid att vidta nödvändiga åtgärder för att implementera systemet.

Ytterligare information om utvecklingen av nya certifieringssystem finns här: https://www.enisa.europa.eu/topics/certification/from-candidate-to-certification-scheme

Befintliga och framtida system

Flera certifieringssystem har utvecklats eller är under utveckling under Cybersecurity Act, vart och ett adresserar olika aspekter av cybersäkerhet.

EUCC

EUCC (European Cybersecurity Certification Scheme on Common Criteria) är avsett för certifiering av ICT-produkter som hårdvara, mjukvara och komponenter.

Den 31 januari 2024 publicerade Europeiska kommissionen den genomförandeakt som införde systemet. ENISA tillhandahåller de stödjande dokumenten listade i bilaga 1 till genomförandeakten. Systemet baseras på det välbeprövade internationella utvärderingsramverket SOG-IS Common Criteria, som redan tillämpas i 17 EU-medlemsstater.

Mer information om systemet finns här: https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en

EUCS

EUCS (European Cybersecurity Certification Scheme for Cloud Services) syftar till att certifiera cybersäkerheten för molntjänster. Det första utkastet publicerades den 22 december 2020. Utkastet granskas för närvarande i ECCG-konsultationsprocessen. Utkastet utvecklades med stöd av en ad hoc-arbetsgrupp och medlemsstaterna och är avsett att sätta enhetliga säkerhetsstandarder för molntjänster i EU.

EU5G

EU5G (European Cybersecurity Certification Scheme for 5G) är avsett att certifiera cybersäkerheten för 5G-nätverk. Det utvecklas i två faser. Den första fasen avslutades hösten 2022. ENISA, experter och Europeiska kommissionen analyserade befintliga industribedömningar och certifieringssystem. Ett första utkast av systemet förväntades i slutet av 2023. Systemet kommer att fokusera på olika användningsfall, inklusive tillhandahållande och utplacering av identifierad 5G-nätverksutrustning, hantering av abonnentidentiteter, fjärrleverans av SIM-kort, 5G-autentisering (inklusive roaming) och abonnenttillgångstjänster.

AI

Inom området artificiell intelligens undersöker ENISA om och hur AI-system kan bli föremål för cybersäkerhetscertifiering. Detta arbete är preliminärt, eftersom Europeiska kommissionen ännu inte har gjort en officiell begäran om att utveckla ett certifieringssystem för AI. Målet är att förbereda för den möjliga integreringen av AI i det befintliga certifieringsramverket.

Managed security services

Managed security services, som nämns som en kritisk sektor i NIS2-direktivet och omnämns i den föreslagna Cyber Solidarity Act, är kärnan i förebyggandet av och responsen på cybersäkerhetshot och incidenter. EU planerar att ändra Cybersecurity Act för att möjliggöra certifiering av sådana tjänster av ENISA. Förberedande arbete har redan påbörjats.