W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

Krajowy organ
ds. certyfikacji cyberbezpieczeństwa

Powrót

EUCC - pierwszy europejski program certyfikacji cyberbezpieczeństwa

W związku z wejściem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa chcemy przybliżyć państwu europejski program certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach czyli EUCC. Program ten dotyczy certyfikacji produktów ICT.

Schemat realizacji projektu w postaci falującej błękitnej linii na której jako węzły zaznaczone są poszczególne etapy.

EUCC to pierwszy i jak na razie jedyny europejski program certyfikacji cyberbezpieczeństwa. Program jest określony w rozporządzeniu wykonawczym Komisji (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC). Jest oparty o międzynarodową normę Common Criteria, najpopularniejszy na świecie standard oceny cyberbezpieczeństwa produktów ICT. Certyfikaty wydawane w jego ramach są automatycznie uznawane we wszystkich państwach członkowskich UE. 

 Jest to najbardziej na świecie rozpowszechniony standard w zakresie badania cyberbezpieczeństwa produktów ICT. Jest wykorzystywany zarówno przez organy administracji wielu państw m.in. USA jak i organizacje na całym świecie, aby podejmować świadome decyzje dotyczące bezpieczeństwa produktów, z których korzystają. Posiadanie takiego certyfikatu jest dowodem, że produkt spełnia najlepsze standardy z zakresu cyberbezpieczeństwa.

Program EUCC, oparty na zasadzie dobrowolności, umożliwia dostawcom produktów ICT, którzy chcą wykazać się gwarancją jakości, przejście przez powszechnie zrozumiały proces oceny UE w celu certyfikacji produktów ICT, takich jak komponenty technologiczne (chipy, karty inteligentne), sprzęt i oprogramowanie.

EUCC zastąpił dotychczasowy program SOG-IS, w którym uczestniczyło 17 państw Unii Europejskiej w tym Polska i będzie stosowany jednolicie we wszystkich państwach członkowskich Unii Europejskiej.

Zdolność do certyfikacji produktów w ramach tej normy była budowana w ramach projektu “Krajowy schemat oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodny z Common Criteria” (KSO3C). Projekt był wspólnym przedsięwzięciem jednostek naukowo – badawczych funkcjonujących pod nadzorem Ministra Cyfryzacji, tzn. Instytutu Łączności – Państwowego Instytutu Badawczego (IŁ – PIB), Naukowej i Akademickiej Sieci Komputerowej (NASK) oraz Sieci Badawczej Łukasiewicz – Instytutu Sztucznej Inteligencji i Cyberbezpieczeństwa (Łukasiewicz AI). Jednostki te stworzyły skuteczny system oceny oraz certyfikacji bezpieczeństwa i prywatności produktów i usług teleinformatycznych, a obecnie pracują nad dostosowaniem swoich usług do programu EUCC.

Certyfikaty wydawane w ramach EUCC mogą odwoływać się do jednego z dwóch poziomów uzasadnienia zaufania – istotnego i wysokiego. Poziom wysoki to najwyższy  poziom jaki można uzyskać w ramach Europejskiej Ramy Certyfikacji Cyberbezpieczeństwa.

W uproszeniu można powiedzieć, że proces certyfikacji w ramach EUCC składa się z trzech etapów:

  1. Określenie celu bezpieczeństwa – określenie szczegółowych wymagań bezpieczeństwa dla ocenianego produktu dostosowanych do jego specyfiki.
  2. Przeprowadzenie oceny zgodności - po określeniu celu bezpieczeństwa, akredytowane laboratorium przeprowadza ocenę zgodności produktu zgodnie z tymi wymaganiami. Ocena ta obejmuje analizę dokumentacji produktu oraz testowanie. Bierze się w tym procesie pod uwagę m. in. zastosowanie danego produktu oraz cyberzagrożenia, na który jest narażony.
  3. Przeprowadzenie certyfikacji - po pomyślnej ocenie zgodności, produkt może uzyskać certyfikat

ENISA publikuje dokumenty dotyczące najnowszych osiągnięć technicznych (SotA) wymienione w załączniku nr I do rozporządzenia EUCC, aby wyjaśnić wymagania dotyczące konkretnych zakresów oceny. Jak wspomniano w tym akcie prawnym „dokument dotyczący stanu wiedzy” to dokument, który określa metody, techniki i narzędzia oceny mające zastosowanie do certyfikacji produktów ICT lub wymagań bezpieczeństwa ogólnej kategorii produktów ICT w celu harmonizacji oceny w dziedzinach technicznych lub profili ochrony. Dokumenty te są więc integralną częścią programu certyfikacji, niezbędną do jego zastosowania.

Minister Cyfryzacji sprawuje nadzór nad certyfikatami EUCC wydanymi w Polsce i podejmuje działania w przypadku otrzymania informacji o nieprawidłowościach np. podatnościach w certyfikowanym produkcie.

Więcej informacji o EUCC można znaleźć na stronie -  https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en

Z rozporządzeniem wykonawczym Komisji Europejskiej, w którym program został przyjęty można znaleźć na stronie - https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L_202400482 

{"register":{"columns":[]}}