EU:s cybersäkerhetsakt (EU) 2019/881 (The EU Cybersecurity Act, CSA) är en förordning om Europeiska unionens cybersäkerhetsbyrå Enisa samt cybersäkerhetscertifiering av informations- och kommunikationsteknik.
I EU:s cybersäkerhetsakt, som trädde i kraft 2019, fastställs utvecklingen och ibruktagandet av EU-omfattande certifieringsordningar för cybersäkerhet. Syftet med dessa certifieringsordningar och de cybersäkerhetscertifikat som utfärdas på grundval av dem är att
- harmonisera säkerhetskraven för IKT-produkter, IKT-tjänster och IKT-processer mellan olika medlemsstater
- öka säkerheten för produkter, tjänster och processer samt konsumenternas förtroende för certifierade produkter
- minska situationer där företag måste skaffa flera överlappande eller sinsemellan motstridiga nationella certifikat som medför extra kostnader.
I cybersäkerhetsakten fastställs uppgifterna och behörigheterna för den nationella myndigheten (NCCA, National Cybersecurity Certification Authority) som utfärdar cybersäkerhetscertifikat. I Finland ansvarar Transport- och kommunikationsverket Traficom för verksamheten som det föreskrivs i 304 § i lagen om tjänster inom elektronisk kommunikation (917/2014).
Certifikatens assuransnivåer: grundläggande, betydande, hög
CSA fastställer tre olika assuransnivåer för cybersäkerhetscertifikat. Assuransnivån används för att beskriva cybersäkerhetsrisknivån i anknytning till användningssyftet för det objekt som ska certifieras och på vilken nivå den har utvärderats.
Grundläggande nivå: utvärderingen av objektet har gjorts på en nivå som avser att minimera kända grundläggande risker för incidenter och cyberattacker. Utvärdering på grundläggande nivå bör innefatta åtminstone en granskning av objektets tekniska dokumentation.
Betydande nivå: utvärderingen av objektet har gjorts på en nivå som avser att minimera kända cyberrisker, och risken för incidenter och cyberattacker som genomförs av aktörer med begränsade kunskaper och resurser. Certifikat för assuransnivån betydande ska innefatta åtminstone bevis på att allmänt kända sårbarheter inte föreligger och testning för att visa att en viss produkt, tjänst eller process på ett korrekt sätt genomför nödvändiga säkerhetsfunktioner.
Hög: utvärderingen av objektet har gjorts på en nivå som avser att minimera risken för avancerade cyberattacker med den senaste tekniken som genomförs av aktörer med omfattande kunskaper och resurser. Minimikraven för utvärdering med assuransnivån hög bör förutom det som nämndes ovan innefatta penetrationsprovning av produktens/tjänstens/processens förmåga att motstå kunniga angrepp.
Närmare krav för certifikat på de olika assuransnivåerna har fastställts i certifieringsordningen som tillämpas.
Obligatorisk certifiering
Det är frivilligt att skaffa cybersäkerhetscertifiering om det inte enligt nationell lagstiftning eller EU-lagstiftning är obligatoriskt till exempel för vissa produkter, tjänster eller processer.
Även om det inte är obligatoriskt att skaffa certifikat är det ett bra sätt att påvisa att säkerhetskraven har beaktats och genomförts på rätt sätt.
Tips:
Även om du inte har för avsikt att skaffa cybersäkerhetscertifikat är förtrogenhet med certifieringsordningens säkerhetskrav ett bra sätt att reflektera cybersäkerhetsmognaden för en egen produkt, tjänst eller process i förhållande till certifikatets krav!
Europeiska certifieringsordningar för cybersäkerhet (European cybersecurity certification schemes)
Certifieringsordningen beskriver de krav som ska uppfyllas för certifikat för olika parter och närmare hur efterlevnaden av kraven övervakas.
Mer information om gällande certifieringsordningar för cybersäkerhet och ordningar som är under beredning finns på webbplatsen Certifieringsordningar för cybersäkerhet .