Eiropas Savienības Kiberdrošības aģentūras (ENISA) izstrādātā Eiropas kiberdrošības shēma pēc kopējiem kritērijiem (EUCC – The European Cybersecurity Scheme on Common Criteria) ir pieņemta kā pirmā shēma ES kiberdrošības sertifikācijas sistēmā.
Eiropas Komisija pieņēma īstenošanas regulu par ES kiberdrošības sertifikācijas shēmu, kas balstīta uz kopējiem kritērijiem (EUCC). Kandidātshēmu ENISA izstrādāja, atbildot uz Eiropas Komisijas pieprasījumu. Izstrādājot to, ENISA izveidoja Ad-hoc darba grupu (AHWG – Ad-hoc working group), kurā darbojās nozares eksperti un ES dalībvalstu nacionālās kiberdrošības sertifikācijas iestādes (NCCA – National Cybersecurity Certification Authorities).
Paredzams, ka EUCC ir pirmā ES kiberdrošības sertifikācijas sistēma, kas pieņemta, un tā bruģēs ceļu nākamajām sistēmām, kuras pašlaik tiek gatavotas. Lai gan šis akts ir daļa no ES tiesību aktu kopuma, kiberdrošības sertifikācijas sistēma ir brīvprātīga. Ar laiku EUCC aizstās nacionālās sertifikācijas shēmas, kas līdz šim darbojās saskaņā ar SOG-IS (Senior Officials Group Information System Security) vienošanos.
Kas ir EUCC?
Kā paredzēts 2019. gada Kiberdrošības regulā, jaunā shēma ietilpst ES kiberdrošības sertifikācijas sistēmā. Šīs sistēmas mērķis bija paaugstināt IKT (Informācijas un komunikāciju tehnoloģija) produktu, pakalpojumu un procesu kiberdrošības līmeni ES tirgū. Tas tiek panākts, nosakot visaptverošu noteikumu kopumu, tehnisko standartu prasības un procedūras, kas jāpiemēro visā Eiropas Savienībā.
Jaunā EUCC shēma ir brīvprātīga un ļauj IKT piegādātājiem, kuri vēlas uzrādīt atbilstības apliecinājumu, iziet ES vispārpieņemtu novērtēšanas procesu, lai sertificētu IKT produktus, piemēram, tehnoloģiskās sastāvdaļas (mikroshēmas, viedkartes), aparatūru un programmatūru.
Shēmas pamatā ir laika gaitā pārbaudītā SOG-IS kopējo kritēriju (SOG-IS Common Criteria) novērtēšanas sistēma, ko jau izmanto 17 ES dalībvalstīs. Tā ierosina divus atbilstības līmeņus, pamatojoties uz riska līmeni, kas saistīts ar produkta, pakalpojuma vai procesa paredzēto izmantošanu, ņemot vērā negadījumu varbūtību un ietekmi.
Pamatojoties uz plašu izpēti un konsultācijām, visaptverošā shēma ir pielāgota ES dalībvalstu vajadzībām. Tādējādi ES mēroga sertifikācijas mehānismi ļauj Eiropas uzņēmumiem konkurēt valsts, ES un pasaules līmenī.
Citiem vārdiem sakot, sagaidāms, ka ES sertifikācijas shēmas, piemēram, EUCC, arī stimulēs piegādātājus ievērot kiberdrošības sertifikācijas prasības. EUCC iekļaujas dinamiskajā kibersertifikācijas tirgū, kas pētīts ENISA publicētajā ziņojumā par IKT produktu un pakalpojumu novērtēšanas metodoloģiju un iestāžu skaita attīstību.
Pieņemšanas process un nākamie soļi
Kopā ar Ad-hoc darba grupu ENISA sagatavoja kandidātu shēmu, kurā definētas un apstiprinātas drošības prasības un vispārpieņemtās novērtēšanas metodes.
Pieņemtais tiesību akts paredz pārejas periodu, kura laikā organizācijas joprojām varēs gūt labumu no esošās sertifikācijas saskaņā ar valstu shēmām atsevišķās dalībvalstīs. Atbilstības novērtēšanas iestādes (CAB – Conformity Assessment Bodies), kas ir ieinteresētas novērtēt atbilstību EUCC, var tikt akreditētas un izziņotas. Ražotāji varēs pārveidot savus esošos SOG-IS sertifikātus par EUCC sertifikātiem pēc tam, kad būs novērtējuši savus risinājumus atbilstoši EUCC noteiktajām papildu vai atjauninātajām prasībām.
Saskaņā ar EUCC izdotos sertifikātus publicēs ENISA. ENISA publicē arī īstenošanas aktu un apliecinošos dokumentus, piemēram, pielikumus, jaunākās paaudzes dokumentus un norādījumus, īpašā sertifikācijas tīmekļa vietnē. Eiropas Savienības Kiberdrošības aģentūra piedāvā arī atbalsta materiālus, tostarp videomateriālu par jaunākajām attīstības tendencēm saistībā ar shēmu un tās īstenošanas atbalstam.
Citas ES kiberdrošības sertifikācijas sistēmas
ENISA pašlaik strādā pie vēl divām kiberdrošības sertifikācijas shēmām – EUCS par mākoņpakalpojumiem un EU5G par 5G drošību. Aģentūra ir arī veikusi priekšizpēti par ES kiberdrošības sertifikācijas prasībām attiecībā uz mākslīgo intelektuālo intelektu un atbalsta Eiropas Komisiju un dalībvalstis, lai izstrādātu sertifikācijas stratēģiju attiecībā uz eIDAS/maku (wallet). Pavisam nesen Eiropas Komisija ierosināja grozījumus Kiberdrošības likumā, kas paredz pārvaldītu drošības pakalpojumu (MSSP – managed security services) shēmu.
