7 lutego 2024 r. Komisja Europejska opublikowała Rozporządzenie Wykonawcze (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC).

W niniejszym rozporządzeniu określono role, zasady i obowiązki, a także strukturę europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) zgodnie z europejskimi ramami certyfikacji cyberbezpieczeństwa określonymi w rozporządzeniu (UE) 2019/881. EUCC opiera się na umowie o wzajemnym uznawaniu certyfikatów bezpieczeństwa technologii informacyjnych zatwierdzonej przez Grupę Wyższych Urzędników ds. Bezpieczeństwa Systemów Informatycznych („SOG-IS”) z wykorzystaniem wspólnych kryteriów, w tym procedur i dokumentów grupy.

Program powinien opierać się na ustalonych normach międzynarodowych. Wspólne kryteria to międzynarodowa norma dotycząca oceny bezpieczeństwa informacji, opublikowana na przykład jako ISO/IEC 15408 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Kryteria oceny zabezpieczeń informatycznych. Opiera się ona na ocenie dokonanej przez osobę trzecią i obejmuje siedem poziomów uzasadnienia zaufania („EAL”). Wspólnym kryteriom towarzyszy wspólna metodyka oceny, opublikowana na przykład jako ISO/IEC 18045 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Kryteria oceny zabezpieczeń informatycznych – Metodyka oceny zabezpieczeń informatycznych. Specyfikacje i dokumenty, w których stosuje się przepisy niniejszego rozporządzenia, mogą odnosić się do publicznie dostępnej normy, która odzwierciedla normę stosowaną w certyfikacji na podstawie niniejszego rozporządzenia, taką jak wspólne kryteria oceny bezpieczeństwa technologii informacyjnych i wspólna metodyka oceny bezpieczeństwa technologii informacyjnych.

Link do pełnego tekstu: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L_202400482

Wraz z wejściem w styczniu tego roku „Rozporządzenia Wykonawczego do Aktu o Cyberbezpieczeństwie” stworzone zostały europejskie ramy certyfikacji w zakresie cyberbezpieczeństwa produktów i usług ICT tj. sprzęt, oprogramowanie oraz komponenty.

Uchwalone prawo ma zagwarantować, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE.

Co to oznacza dla firm i konsumentów?

• konsumenci będą mogli dokonywać świadomego wyboru produktów oraz usług w zakresie oferowanego przez nich poziomu bezpieczeństwa cyfrowego.
• przedsiębiorcy zyskają narzędzie potwierdzające jakość swoich wyrobów, co pozwoli im zwiększyć zaufanie wśród konsumentów.
• z kolei przedsiębiorcy, którzy będą chcieli oferować usługi certyfikacyjne, będą mogli swobodnie kierować swoją ofertę do klientów z innych państw z gwarancją uznania wystawionych przez nich dokumentów.
• certyfikaty będą uznawane w każdym państwie należącym do Unii Europejskiej.

Certyfikaty potwierdzające cyberbezpieczeństwo będą wydawane na podstawie Europejskiego Programu Certyfikacji Cyberbezpieczeństwa(EUCC), który jest podstawą do certyfikacji produktów IT na zgodność z międzynarodowym standardem Common Criteria (norma PN-EN ISO/IEC 15408). System certyfikacji w Polsce będzie opierał się na działalności prywatnych jednostek certyfikujących i laboratoriów. Na ten moment pierwszą i jedyną w Polsce jest NASK. Dostosuje on istniejące procedury i wdroży nowy europejski program certyfikacji.

Zacznij działać w obszarze cyberbezpieczeństwa! Dołącz do webinarium PFR i dowiedz się w jaki sposób zacząć budować podstawy cyberbezpieczeństwa w Twojej Firmie?

Jak uchronić organizację przed cyberatakami? Podstawy cyberbezpieczeństwa!

20 lutego 2024, g. 10.00

W erze rozwijającej się technologii i postępującej cyfryzacji, dbałość o cyberbezpieczeństwo stało się nieodzownym elementem funkcjonowania każdej firmy. Wdrożenie skutecznych strategii bezpieczeństwa informatycznego staje się priorytetem. Zapraszamy na spotkanie, gdzie omówimy podstawy cyberbezpieczeństwa dla firm oraz przedstawimy ofertę warsztatów, które pogłębią omawiany temat.

Spotkanie poprowadzą eksperci z firmy ComCERT SA.

Tematyka:

• Dlaczego cyberbezpieczeństwo jest istotne? Najważniejsze incydenty i zagrożenia w sektorze MŚP.
• Od czego zacząć…Jak się przygotować na cyberatak?
• Incydent – mleko się rozlało, co dalej…

Zapisy pod linkiem.

Źródło: Komisja Europejska, Polski Fundusz Rozwoju SA