Europska kibernetička sigurnosna certifikacija
Provedba europske kibernetičke sigurnosne certifikacije u RH
Europske sheme kibernetičke sigurnosne certifikacije
Kako bi se certificirao širok spektar proizvoda, procesa i usluga iz područja kibernetičke sigurnosti trenutno je u izradi više certifikacijskih shema u okviru Uredbe (EU) 2019/881. Svaka od njih ima svoj opseg, specifičnu primjenu i podrazumijeva ispunjenje niza sigurnosnih zahtjeva.
EUCC shema (Common Criteria-based European Cybersecurity Certification Scheme) je prva europska shema kibernetičke sigurnosne certifikacije IKT proizvoda, koja se temelji na međunarodnom standardu Common Criteria (ISO/IEC 15408). EUCC shema stupila je na snagu usvajanjem Provedbene Uredbe (EU) 2024/482 od 31. siječnja 2024.
EUCS (European Cybersecurity Certification Scheme for Cloud Services) je europska shema kibernetičke sigurnosti za certifikaciju usluga pohrane podataka u oblaku, čije se usvajanje očekuje uskoro. Od ostalih europskih shema kibernetičke sigurnosne certifikacije u pripremi su sheme kibernetičke sigurnosne certifikacije za 5G, umjetnu inteligenciju, upravljane sigurnosne usluge te EU digitalnu lisnicu.
Jamstvene razine europskog kibernetičkog sigurnosnog certifikata
Jamstvena razina europskog kibernetičkog sigurnosnog certifikata temelj je povjerenja u to da IKT proizvod, usluga i proces te upravljana sigurnosna usluga zadovoljava sigurnosne zahtjeve određene europskom shemom kibernetičke sigurnosne certifikacije. Jamstvena razina razmjerna je razini rizika povezanog s predviđenom uporabom IKT proizvoda, usluge i procesa ili upravljane sigurnosne usluge u smislu vjerojatnosti i učinka incidenta.
Europskom kibernetičkom sigurnosnom certifikacijom može se za IKT proizvode, usluge i procese te upravljane sigurnosne usluge utvrditi osnovna, znatna ili visoka jamstvena razina.
Europskim kibernetičkim sigurnosnim certifikatom koji se odnosi na osnovnu jamstvenu razinu ili EU izjavom o sukladnosti pruža se jamstvo da IKT proizvod, usluga ili proces te upravljana sigurnosna usluga za koju je taj certifikat ili EU izjava o sukladnosti izdana, ispunjava odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da je bila podvrgnuta evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru poznatih osnovnih rizika za incidente i kibernetičke napade.
Europskim kibernetičkim sigurnosnim certifikatom koji se odnosi na znatnu jamstvenu razinu pruža se jamstvo da IKT proizvod, usluga ili proces te upravljana sigurnosna usluga za koju je taj certifikat izdan ispunjava odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da je bila podvrgnuta evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru poznatih kibernetičkih sigurnosnih rizika te rizika od incidenata i kibernetičkih napada koje provode subjekti ograničenih vještina i resursa. Evaluacijske aktivnosti koje treba poduzeti obuhvaćaju, najmanje, preispitivanje radi dokazivanja nepostojanja javno poznatih ranjivosti i testiranje radi dokazivanja da se na ispravan način primjenjuju potrebne sigurnosne funkcionalnosti.
Europskim kibernetičkim sigurnosnim certifikatom koji se odnosi na visoku jamstvenu razinu pruža se jamstvo da IKT proizvod, usluga ili proces te upravljana sigurnosna usluga za koju je taj certifikat izdan ispunjavaju odgovarajuće sigurnosne zahtjeve, uključujući sigurnosne funkcionalnosti, te da su bili podvrgnuti evaluaciji na razini čija je svrha svođenje na najmanju moguću mjeru rizika od najsuvremenijih kibernetičkih napada koje provode subjekti znatnih vještina i resursa. Evaluacijske aktivnosti koje treba poduzeti obuhvaćaju, najmanje, preispitivanje radi dokazivanja nepostojanja javno poznatih ranjivosti, testiranje radi dokazivanja da se na ispravan način i na najsuvremenijoj razini primjenjuju potrebne sigurnosne funkcionalnosti te procjena otpornosti na napad vještih napadača koristeći se penetracijskim testiranjem.
Samoocjenjivanje sukladnosti i EU izjava o sukladnosti
Europskom shemom kibernetičke sigurnosne certifikacije može se omogućiti samoocjenjivanje sukladnosti koje se provodi pod isključivom odgovornošću proizvođača ili pružatelja IKT proizvoda, usluge i procesa te upravljanih sigurnosnih usluga. Takvo samoocjenjivanje sukladnosti primjenjuje se samo na IKT proizvode, usluge ili procese te upravljane sigurnosne usluge koje predstavljaju niski rizik koji odgovara osnovnoj jamstvenoj razini.
Proizvođač ili pružatelj IKT proizvoda, usluga ili procesa te upravljanih sigurnosnih usluga može izdati EU izjavu o sukladnosti u kojoj se navodi da je dokazano ispunjenje zahtjeva utvrđenih u certifikacijskoj shemi. Izdavanjem takve izjave proizvođač ili pružatelj usluge preuzima odgovornost za sukladnost IKT proizvoda, usluga i procesa te upravljanih sigurnosnih usluga sa zahtjevima utvrđenima u europskoj shemi kibernetičke sigurnosne certifikacije.
Proizvođač ili pružatelj IKT proizvoda, usluga ili procesa te upravljane sigurnosne usluge EU izjavu o sukladnosti, tehničku dokumentaciju i sve druge relevantne informacije o sukladnosti proizvoda ili usluga treba staviti na raspolaganje ZSIS-u u skladu s člankom 58. stavkom 1. Uredbe (EU) 2019/881 u razdoblju utvrđenom u odgovarajućoj europskoj shemi kibernetičke sigurnosne certifikacije.
Ocjenjivanje sukladnosti
Ocjenjivanje sukladnosti postupak je kojim se evaluira jesu li ispunjeni određeni zahtjevi koji se odnose na IKT proizvod, uslugu ili proces te upravljanu sigurnosnu uslugu. Taj postupak provodi neovisna treća strana (tijelo za ocjenu sukladnosti) koja nije proizvođač ili pružatelj IKT proizvoda, usluga ili procesa te upravljane sigurnosne usluge koja se ocjenjuje.
Nakon uspješne evaluacije izdaje se europski certifikat kibernetičke sigurnosti. Izdani certifikat je potvrda da je evaluacija pravilno provedena.
Ocjenjivanjem sukladnosti i certifikacijom ne može se samim po sebi jamčiti kibernetička sigurnost certificiranih IKT proizvoda, usluga ili procesa te upravljanih sigurnosnih usluga. Umjesto toga, riječ je o postupcima i tehničkoj metodologiji kojima se potvrđuje da su proizvodi, usluge i procesi testirani i da su u skladu s određenim zahtjevima kibernetičke sigurnosti, koji su propisani odgovarajućim tehničkim normama.
Europskim shemama kibernetičke sigurnosne certifikacije u pravilu se može osigurati da se ocjenjivanje sukladnosti provodi pod isključivom odgovornošću proizvođača ili pružatelja IKT proizvoda usluga ili procesa te upravljane sigurnosne usluge, tzv. samoocjenjivanje sukladnosti. U takvim slučajevima proizvođač ili pružatelj IKT proizvoda, usluga ili procesa te upravljane sigurnosne usluge samostalno provodi sve provjere kako bi osigurao usklađenost s europskom shemom kibernetičke sigurnosne certifikacije.
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Zakon o kibernetičkoj sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima