EN SV
compliance

EU Cybersecurity Act-certificering for sikre produkter

5 minutters læsning
EU Cybersecurity Act-certificering for sikre produkter

EU Cybersecurity Act styrker ENISA og etablerer certificeringsordninger for produkter. Lær mere om den europæiske ramme.

ENISA EU's agentur for cybersikkerhed

Under Cybersecurity Act har ENISA fået et udvidet mandat, der giver det yderligere ressourcer og nye opgaver. ENISAs hovedansvar er:

  1. At udvikle og vedligeholde den europæiske cybersikkerhedscertificeringsramme: ENISA forbereder den tekniske ramme for specifikke certificeringsordninger.
  2. Offentlig oplysning: ENISA informerer offentligheden om certificeringsordninger og udstedte certifikater via en dedikeret hjemmeside.
  3. Støtte til håndtering af cyber-hændelser: ENISA fremmer samarbejde på EU-niveau og støtter medlemsstaterne i håndteringen af cyber-hændelser, koordinerer respons til store grænseoverskridende cyberangreb og kriser.

Ramme for cybersikkerhedscertificeringer

Rammen for cybersikkerhedscertificering standardiserer cybersikkerhedspraksis på tværs af EU ved at fastsætte sikkerhedsstandarder for ICT-produkter, -tjenester og -processer for at sikre et fælles beskyttelsesniveau. Rammen opdeler certificering i tre sikkerhedsniveauer og beskriver ENISAs rolle samt mekanismerne for markedsoverholdelse. Den understreger også interessentinddragelse, tilpasser sig internationale standarder og kan tilpasses det udviklende cybersikkerhedslandskab.

Europæisk ramme for cybersikkerhedscertificeringer

EUs cybersikkerhedscertificeringsramme sigter mod at opbygge tillid og sikkerhed omkring produkter, tjenester og processer inden for informations- og kommunikationsteknologi (ICT). Dette opnås ved at udvikle certificeringsordninger, der vurderer sikkerheds- og overensstemmelsesniveauet for ICT-produkter, -tjenester og -processer.

Certificeringsordninger

En certificeringsordning under Cybersecurity Act er en omfattende ramme, der skal sikre cybersikkerheden for ICT-produkter, -tjenester og -processer. Hver ordning omfatter typisk:

Styring af omfang og anvendelighed

Oplysninger om, hvilke typer af ICT-produkter, -tjenester og -processer der er dækket.

Formål med ordningen

Hvordan de valgte standarder, vurderingskriterier og sikkerhedsniveauer opfylder brugernes behov.

Referencer til standarder

Internationale, europæiske eller nationale standarder, der bruges til vurderingen.

Sikkerhedsniveauer

Definerede sikkerhedsniveauer ("grundlæggende", "betydelig", "høj") baseret på risiko.

Overensstemmelsesvurdering

De specifikke vurderingskriterier og metoder, der bruges til at verificere kravene.

Betingelser for brug

Betingelser for udstedelse, vedligeholdelse og fornyelse af certifikater.

Overvågning

Regler for overvågning af overensstemmelse samt håndtering af manglende overholdelse og nyligt identificerede sårbarheder.

Ved at definere disse elementer giver en certificeringsordning under CSA en struktureret og pålidelig tilgang til certificering af cybersikkerheden for ICT-produkter, -tjenester og -processer, hvorved tillid og sikkerhed på det digitale marked styrkes.

Udvikling af certificeringsordninger

Udviklingen af certificeringsordninger foregår i flere trin:

  1. Anmodning af EU-Kommissionen eller medlemsstaterne: ENISA udvikler udkast til certificeringsordninger på anmodning af EU-Kommissionen eller medlemsstaterne.
  2. Ekspertstøtte: ENISA arbejder tæt sammen med eksperter, ad hoc arbejdsgrupper (AHWGs) og relevante interessenter for at forberede ordningerne.
  3. Offentlig høring: Udkast til ordninger frigives til offentlig høring.
  4. Vedtagelse af EU: Efter revision og endelig koordination vedtages ordningen som en EU-retsakt (gennemførelsesakt).
  5. Implementering af medlemsstaterne: Efter vedtagelse har medlemsstaterne tid til at tage de nødvendige foranstaltninger for at implementere ordningen.

Yderligere oplysninger om udvikling af nye certificeringsordninger er tilgængelige her: https://www.enisa.europa.eu/topics/certification/from-candidate-to-certification-scheme

Eksisterende og fremtidige ordninger

Flere certificeringsordninger er blevet udviklet eller er under udvikling under Cybersecurity Act, hvor hver addresserer forskellige aspekter af cybersikkerhed.

EUCC

EUCC (European Cybersecurity Certification Scheme on Common Criteria) er beregnet til certificering af ICT-produkter såsom hardware, software og komponenter.

Den 31. januar 2024 offentliggjorde Europa-Kommissionen gennemførelsesakten, der introducerer ordningen. ENISA stiller de støttedokumenter til rådighed, der er opført i bilag 1 til gennemførelsesakten. Ordningen er baseret på den veletablerede internationale evalueringsramme SOG-IS Common Criteria, som allerede anvendes i 17 EU-medlemsstater.

Mere information om ordningen er tilgængelig her: https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en

EUCS

EUCS (European Cybersecurity Certification Scheme for Cloud Services) sigter mod at certificere cybersikkerheden for cloudtjenester. Det første udkast blev offentliggjort den 22. december 2020. Udkastet bliver i øjeblikket gennemgået i ECCG-høringsprocessen. Udkastet blev udviklet med støtte fra en ad hoc arbejdsgruppe og medlemsstaterne og er beregnet til at fastsætte ensartede sikkerhedsstandarder for cloudtjenester i EU.

EU5G

EU5G (European Cybersecurity Certification Scheme for 5G) er beregnet til at certificere cybersikkerheden for 5G-netværk. Det udvikles i to faser. Den første fase afsluttedes i efteråret 2022. ENISA, eksperter og Europa-Kommissionen analyserede eksisterende branchevurderinger og certificeringsordninger. Et første udkast til ordningen var forventet inden udgangen af 2023. Ordningen vil fokusere på forskellige anvendelsestilfælde, herunder levering og udrulning af identificeret 5G-netværksudstyr, administration af abonnentidentiteter, fjernklargøring af SIM-kort, 5G-autentificering (inklusive roaming) og abonnentadgangstjenester.

AI

Inden for kunstig intelligens undersøger ENISA, om og hvordan AI-systemer kunne være underlagt cybersikkerhedscertificering. Dette arbejde er foreløbigt, da Europa-Kommissionen endnu ikke har fremsat en officiel anmodning om at udvikle en certificeringsordning for AI. Formålet er at forberede sig på den mulige integration af AI i den eksisterende certificeringsramme.

Administrerede sikkerhedstjenester

Administrerede sikkerhedstjenester, som er nævnt som en kritisk sektor i NIS2-direktivet og omtalt i det foreslåede Cyber Solidarity Act, er kernen i forebyggelse af og respons på cybersikkerhedstrusler og -hændelser. EU planlægger at ændre Cybersecurity Act for at muliggøre certificering af sådanne tjenester af ENISA. Forberedende arbejde er allerede begyndt.