Στην ΕΕ διαβιβάστηκε για έγκριση το πρώτο κοινοτικό σύστημα πιστοποίησης της κυβερνοασφάλειας (European Union Cybersecurity Certification – EUCC) που υλοποίησε ο Ευρωπαϊκός Οργανισμός για την Κυβερνοασφάλεια (ENISA).
To EUCC στοχεύει να χρησιμεύσει ως διάδοχος των υφιστάμενων συστημάτων που λειτουργούν βάσει του υφιστάμενου Συμφωνητικού Αμοιβαίας Αναγνώρισης Ασφάλειας (Senior Officials Group Information Systems Security Mutual Recognition Agreement – SOGIS MRA).
Καλύπτει την πιστοποίηση προϊόντων ΤΠΕ, χρησιμοποιώντας τα κοινά κριτήρια που προκύπτουν από την πιστοποίηση ISO / IEC 15408 και αποτελεί το θεμέλιο ενός ευρωπαϊκού πλαισίου πιστοποίησης κυβερνοασφάλειας.
Το τελευταίο θα αποτελείται από διάφορα σχήματα που αναμένεται να αυξήσουν σταδιακά την εμπιστοσύνη σε προϊόντα, υπηρεσίες και διαδικασίες ΤΠΕ που πιστοποιούνται βάσει αυτών των συστημάτων και να μειώσουν το κόστος στην ψηφιακή ενιαία αγορά.
Ο ENISA ανέπτυξε το EUCC με την υποστήριξη μιας ad hoc ομάδας εργασίας που αποτελείται από εμπειρογνώμονες πιστοποίησης στην κυβερνοασφάλεια και μέλη της ευρωπαϊκής ομάδας πιστοποίησης κυβερνοασφάλειας (European Cybersecurity Certification Group – ECCG), η οποία αποτελείται από εκπροσώπους των κρατών μελών της ΕΕ.
Αυτό το πρόγραμμα δημοσιεύθηκε αρχικά την 1η Ιουλίου 2020 και τέθηκε σε διαβούλευση, το οποίο επέτρεψε στους φορείς πιστοποίησης και στα ενδιαφερόμενα μέρη να παράσχουν τα σχόλιά τους μέσω ειδικής έρευνας.
Τα βασικά σημεία του αποτελέσματος της δημόσιας διαβούλευσης
Με βάση τα αποτελέσματα της δημόσιας διαβούλευσης;
- Επιβεβαιώνεται η πρόθεση των ενδιαφερόμενων φορέων πιστοποίησης να χρησιμοποιήσουν το σύστημα στην εσωτερική αγορά όταν θα είναι διαθέσιμο.
- Οι ενδιαφερόμενοι ενθαρρύνουν τον ENISA να αναπτύξει περαιτέρω οδηγίες για την υποστήριξη της εφαρμογής και της εκτέλεσης του προγράμματος.
- Τα ενδιαφερόμενα μέρη ανέφεραν ορισμένα στοιχεία του συστήματος που έπρεπε να προσαρμοστούν ή να διορθωθούν, όπως προϋποθέσεις ή χρονοδιαγράμματα για τη συντήρηση των πιστοποιητικών, την παρακολούθηση και τον χειρισμό των μη συμμορφώσεων ή των τρωτών σημείων.
- Τα βασικά στοιχεία του πλαισίου πιστοποίησης κυβερνοασφάλειας
Εκτός από το EUCC, ο ENISA έχει υποστηρίξει το πλαίσιο πιστοποίησης της ασφάλειας στον κυβερνοχώρο της ΕΕ για:
- Την ανάπτυξη ενός σχεδίου επικοινωνίας με στόχο οι καταναλωτές να υποστηρίξουν την εφαρμογή του EUCC και να διασφαλιστεί ότι είναι καλά ενημερωμένοι σχετικά με το τι συνεπάγεται η πιστοποίηση κυβερνοασφάλειας των προϊόντων ΤΠΕ.
- Τη διευκόλυνση της συμμετοχής των ενδιαφερόμενων νεοεισερχόμενων κρατών μελών της ΕΕ στην πιστοποίηση ασφάλειας στον κυβερνοχώρο για να συμμετάσχουν στο EUCC, με την παροχή ενός ειδικού προγράμματος κατάρτισης.
- Καθιέρωση ενός έργου μετάβασης που να παρέχει και να διασφαλίζει τις καλύτερες προϋποθέσεις για την ομαλή μεταφορά από τις τρέχουσες εθνικές δραστηριότητες SOG-IS στο EUCC.
Και σχήμα για την πιστοποίηση ασφάλειας στο cloud
Επίσης, ο ENISA έχει προχωρήσει στην ανάπτυξη ενός δεύτερου υποψηφίου σχήματος πιστοποίησης κυβερνοασφάλειας που σχετίζεται με υπηρεσίες cloud, το πρώτο σχέδιο του οποίου δόθηκε για δημόσια διαβούλευση στα τέλη Δεκεμβρίου 2020. Τα έγγραφα που σχετίζονται με τη δημόσια διαβούλευση του υποψηφίου συστήματος Cloud Services είναι διαθέσιμα στη σελίδα που είναι αφιερωμένη στις Δημόσιες διαβουλεύσεις για τα υποψήφια συστήματα κυβερνοασφάλειας.
Πιστοποίηση κυβερνοασφάλειας και στο 5G
Επιπλέον, ο ENISA πρόκειται να ξεκινήσει σύντομα τις διαδικασίες για για την προετοιμασία ενός συστήματος πιστοποίησης της κυβερνοασφάλειας της ΕΕ στο 5G.