Certifikujete sa v rámci EUCC?
Žiadny problém. Medzi SAPIE členmi máme aj Petra Pišteka z firmy Securedo, ktorý je jeden z mála odborníkov na Slovensku, ktorí na túto schému prešli medzinárodným školením, a s ktorými bude spolupracovať NBÚ pri tejto certifikačnej schéme.
Čo je EUCC?
EUCC (European Cybersecurity Certification Scheme based on Common Criteria) je európska schéma certifikácie kybernetickej bezpečnosti, ktorej cieľom je harmonizovať a zjednodušiť certifikáciu IKT produktov v rámci celej Európskej únie. Táto schéma, založená na medzinárodnom štandarde Common Criteria, stanovuje jednotné kritéria a postupy pre hodnotenie a certifikáciu bezpečnostných vlastností produktov, čo zvyšuje dôveru v digitálne produkty a uľahčuje cezhraničný obchod.
EUCC definuje požiadavky na hodnotiace laboratóriá (ITSEF) a certifikačné orgány (CB), pričom zavádza úrovne hodnotenia "Substantial" a "High" pre rôzne potreby bezpečnostných záruk. Výrobcovia, ktorí sa rozhodnú pre certifikáciu EUCC, musia spolupracovať s akreditovaným ITSEF na otestovaní svojich produktov a poskytnúť potrebnú dokumentáciu.
Implementácia EUCC predstavuje významný krok vpred v oblasti kybernetickej bezpečnosti v Európe, prináša výhody pre zákazníkov aj výrobcov a prispieva k vytvoreniu bezpečnejšieho a digitálneho prostredia. Certifikácia bude jednotná naprieč celou EÚ a upúšťa sa od národných certifikačných schém, ktoré pokrývajú túto oblasť. Certifikát EUCC by mal vedieť pomôcť aj pri povinnostiach kladenými CRA (Cyber Resilience Act 2024/2847). Treba sa však pripraviť, že čím vyššia úroveň certifikácie, tým je tento proces náročnejší aj z pohľadu vecných aj byrokratických požiadaviek.
EUCC je jeden zo systémov certifikácie kybernetickej bezpečnosti a teda sa ho týka článok 24 smernice NIS2 a členské štáty by mali motivovať (až vyžadovať), aby kľúčové a dôležité subjekty smernice NIS2 používali produkty tretích strán, ktoré sú certifikované napríklad aj v EUCC rámci. Aby to nebolo len také ľahké, tak nevýhodou (aspoň za mňa) tejto schémy je, že sa týka konktrétnej verzie výrobku. Akonáhle vydá výrobca aktualizáciu alebo vylepšenie produktu, tak na neho sa už získaný certifikát nevzťahuje. Je to možné zabezpečiť, zjednodušene povedané - zrýchleným certifikačným procesom, ale stále je to nejaká miera byrokracie na viac. Ak sa podarí do EUCC vložiť novú triedu pre patch management, tak to umožní výrazné spružnenie celej schémy a prekonala by tým aj CC schému, ktorá túto triedu tiež neobsahuje.
Príklady certifikovaných produktov ešte podľa CC schémy je možné nájsť tu: https://commoncriteriaportal.org/products/index.cfm
Úrovne hodnotenia “substantial” a “high” v skratke:
SUBSTANTIAL (VÝZNAMNÁ):
Táto úroveň predstavuje vyššiu úroveň certifikácie kybernetickej bezpečnosti;
Zahŕňa podrobnejšie posúdenie a overenie bezpečnosti produktov alebo služieb; v podstate, ide o úroveň, ktorá poskytuje dôkladnejšie bezpečnostné záruky ako základné certifikácie, ale nedosahuje najvyššiu možnú mieru istoty.
HIGH (VYSOKÁ):
Ide o najvyššiu úroveň hodnotenia kybernetickej bezpečnosti;
Poskytuje najvyššiu úroveň bezpečnostných záruk pre produkty alebo služby;
Produkty alebo služby na tejto úrovni sú testované a kontrolované voči najmodernejším kybernetickým hrozbám.
Viac informácií:
Autorom textu je Peter Pištek, zakladateľ firmy Securedo, na ktorého sa v prípade záujmu (nielen) o túto certifikáciu môžete obrátiť.