Kibernetičko sigurnosno certificiranje

Zakonom o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije) Zavod za sigurnost informacijskih sustava određen je nacionalnim tijelom za kibernetičku sigurnosnu certifikaciju. U svojstvu nacionalnoga tijela za kibernetičku sigurnosnu certifikaciju Zavod  nadzire i zahtijeva ispunjavanje pravila iz europskih programa kibernetičke sigurnosne certifikacije, prati usklađenost i ispunjavanje obveza proizvođača ili pružatelja usluga i procesa informacijsko-komunikacijske tehnologije (IKT), aktivno podupre i daje podršku nacionalnom akreditacijskom tijelu u obavljanju poslova akreditiranja i nadziranja tijela za ocjenjivanje sukladnosti te ovlašćuje tijela za ocjenjivanje sukladnosti kada je to primjenjivo.

Nacionalno akreditacijsko tijelo u Republici Hrvatskoj je Hrvatska akreditacijska agencija. Hrvatska akreditacijska agencija dodjeljuje akreditaciju tijelima za ocjenjivanje sukladnosti na razdoblje od pet godina ako ispunjavaju zahtjeve te izvještava Zavod za sigurnost informacijskih sustava o započinjanju svakog akreditacijskog postupka kao i o svakoj izdanoj akreditaciji.

Zavod za sigurnost informacijskih sustava ima zadaću obavijestiti Europsku komisiju o svakoj izdanoj akreditaciji provedenoj u svrhu kibernetičke sigurnosne certifikacije i autorizaciji za obavljanje poslova europskog kibernetičkog sigurnosnog certificiranja.

Na temelju pojedinih europskih shema kibernetičke sigurnosne certifikacije provodi se kibernetička sigurnosna certifikacija koja se odnosi na postupak izdavanja europskih kibernetičkih certifikata, odnosno izjava o sukladnosti za proizvode, usluge i procese informacijsko-komunikacijske tehnologije (IKT) na zahtjev njihovih proizvođača ili poslužitelja. Kibernetičkom sigurnosnom certifikacijom  potvrđuje se da su IKT proizvodi, usluge i procesi evaluirani u skladu s europskim shemama kibernetičke sigurnosne certifikacije te da ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka, funkcija ili usluga koje se nude s pomoću tih proizvoda, usluga i procesa ili kojima se s pomoću njih može pristupiti tijekom njihova životnog ciklusa. Kibernetička sigurnosna certifikacija je dobrovoljna, osim ako pravom Unije ili pravom država članica nije drugačije određeno.

Kibernetičko sigurnosno certificiranje provodi se za IKT proizvode, usluge ili procese na trima jamstvenim razinama – osnovnoj, znatnoj i visokoj. Jamstvene razine upotrebljavaju se za informiranje korisnika o kibernetičkom sigurnosnom riziku IKT proizvoda, usluga ili procesa i razmjerne su razini rizika povezanog s predviđenom uporabom proizvoda, usluga ili procesa u smislu vjerojatnosti i učinka nesreće. Visoka jamstvena razina značila bi da je certificirani proizvod prošao najviše sigurnosne testove. Dobivena potvrda priznaje se u svim državama članicama EU-a, čime se poduzećima olakšava prekogranična trgovina, a kupcima  razumijevanje sigurnosnih značajki proizvoda ili usluge.

Ocjenjivanje sukladnosti je postupak kojim tijela za ocjenu sukladnosti (TOS) evaluiraju jesu li ispunjeni određeni zahtjevi koji se odnose na IKT proizvod, uslugu ili proces. U Republici Hrvatskoj tijela za ocjenjivanje sukladnosti (TOS)  pravne su ili fizičke osobe koje su akreditirane kod Hrvatske akreditacijske agencije ili jednakovrijedne akreditacije koja ispunjava uvjete iz Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 i koje je, ako je to određeno certifikacijskom shemom, autorizirao Zavod za sigurnost informacijskih sustava.

Ovisno o kibernetičkom sigurnosnom riziku koji je povezan s namjerom certificiranja uporabe IKT rješenja, odabire se odgovarajuća jamstvena razina za pojedini IKT proizvod, uslugu ili proces za koji se kibernetička sigurnosna certifikacija provodi.

Proizvođač ili pružatelj IKT proizvoda, usluga i procesa može i sâm provesti ocjenjivanje sukladnosti IKT proizvoda usluga ili procesa („samoocjenjivanje sukladnosti”), isključivo za osnovnu jamstvenu razinu za IKT proizvode, usluge i procese niske razine složenosti koji predstavljaju nizak rizik za javnost, kao što su mehanizmi jednostavnog dizajna i proizvodnje. U takvim slučajevima proizvođač ili pružatelj IKT proizvoda, usluga i procesa sâm provodi sve provjere kako bi osigurao da su IKT proizvod, usluga ili proces sukladni s europskom shemom kibernetičke sigurnosne certifikacije. U tom slučaju proizvođač ili pružatelj IKT proizvoda, usluga i procesa ocjenjivanje sukladnosti provodi isključivo pod svojom odgovornošću.

Građani, organizacije i poduzeća u cijeloj Europskoj Uniji sada se u značajnoj mjeri koriste mrežnim i informacijskim sustavima, što dovodi do toga da digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga. Rastom digitalizacije i povezivosti povećavaju se i kibernetički napadi uslijed čega se pojačava osjetljivost društva na kibernetičke prijetnje te su pojedinci izloženi sve većim opasnostima.

Kibernetičko sigurnosno certificiranje provodi se kao odgovor Europske unije na povećane rizike koji dolaze sa sve većom digitalizacijom društva.  U tom smislu Europska unija poduzela je niz mjera kako bi uredila odnose u kibernetičkom prostoru, povećavajući time otpornost i pojačavajući svoju kibernetičku sigurnosnu pripravnost. S ciljem povećanja povjerenja i sigurnosti na Jedinstvenom digitalnom tržištu Unije te s obzirom na brzo širenje povezanih uređaja, uspostavljen je okvir za sigurnosno certificiranje proizvoda, usluga i procesa informacijsko-komunikacijske tehnologije, odnosno svih objekata kibernetičkog prostora donošenjem Uredbe (EU) 2019/881Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti).

Kibernetičko sigurnosno certificiranje poprima velik značaj s obzirom na sve veću uporabu kibernetičkih tehnologija za namjene koje zahtijevaju visok stupanj pouzdanosti i sigurnosti te je u sve većem broju sektora primjetno povećanje ovisnosti o IKT proizvodima, uslugama i procesima, osobito u prometu, u sustavima održavanja života i zdravlja (e-zdravstvo), u industriji te u ostvarivanju ljudskih prava i interesa (e-građani).