Detta skapar en automatisk översättning med Google Translate. Försvarets materielverk tar inte ansvar för eventuella fel.

Du behöver godkänna funktionella kakor för att använda den här funktionen.

Inspektionen för cybersäkerhetscertifiering (ICC)

Det europeiska ramverket för cybersäkerhetscertifiering

Det europeiska ramverket för cybersäkerhetscertifiering

Genom EU:s cybersäkerhetsakt (CSA) har ett nytt gemensamt ramverk för cybersäkerhetscertifiering införts inom hela EU. Utfärdade europeiska cybersäkerhetscertifikat ska erkännas i alla medlemsstater.

Ett europeiskt cybersäkerhetscertifikat visar att en IKT-produkt, IKT-tjänst eller IKT-process har utvärderats för kontroll av överensstämmelse med specifika säkerhetskrav som fastställts i en europeisk ordning för cybersäkerhetscertifiering. Även om ett certifikat i sig inte mäter cybersäkerheten i en IKT-produkt, IKT-tjänst eller IKT-process anger assuransnivån i certifikatet vilken förtroendegrund som finns för att säkerhetskraven i certifieringsordningen är uppfyllda och på vilken nivå utvärderingen har genomförts.

Det är för närvarande frivilligt att använda europeiska certifikat, men de kan komma att tillämpas för att visa efterlevnad av annan EU-lagstiftning (såsom cyberresiliensakten). Europeiska certifikat kan även bli obligatoriska inom vissa områden, till exempel för vissa sektorer inom NIS2-direktivets tillämpningsområde.

Europeiska certifieringsordningar

Utfärdande av europeiska cybersäkerhetscertifikat baseras på certifieringsordningar inom ramen för cybersäkerhetsakten. Dessa innehåller en uppsättning regler, tekniska krav, standarder och förfaranden för tillämpning vid certifiering eller bedömning av överensstämmelse.

Europeisk Common Criteria-baserad ordning för cybersäkerhetscertifiering (EUCC)

Den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) är en certifieringsordning som beslutats inom ramen för EU:s cybersäkerhetsakt (CSA).

EUCC-ordningen är den första certifieringsordningen som utvecklats under CSA. Den har antagits av Europeiska kommissionen i form av en genomförandeförordning (2024/482) och trädde i kraft den 27 februari 2024. Certifieringsordningen har ett års genomförandetid och tillämpas fullt ut från och med den 27 februari 2025. Under det första året tillämpas bara den del som rör organ för bedömning av överensstämmelse för att möjliggöra att dessa finns på plats för utfärdande av certifikat när huvuddelen av certifieringsordningen träder i kraft.

Det finns en övergångsbestämmelse i genomförandeförordningen för EUCC som innebär att så kallade nationella ordningar kommer att upphöra att ha verkan från och med 12 månader efter ikraftträdandet av EUCC. Detta kan påverka nuvarande ordningar som finns bland annat inom ramen för Common Criteria Recognition Arrangement (CCRA). Övergångsbestämmelsen möjliggör dock för fortsatt certifiering så länge de har inletts inom 12 månader från EUCC:s ikraftträdande och avslutas inom 24 månader (se artikel 49 i EUCC:s genomförandeförordning).

EUCC-ordningen är baserad på den internationella Common Criteria-standarden (ISO/IEC 15408) som utformats för att utföra oberoende säkerhetsevalueringar av IKT-produkter. Common Criteria (CC) gör detta genom att tillhandahålla en gemensam uppsättning krav för säkerhetsfunktionaliteten samt de säkerhetsåtgärder som tillämpas på dessa produkter under en säkerhetsutvärdering. IKT-produkter omfattar i detta sammanhang hårdvara, mjukvara samt fast programvara.

Evalueringar utförs i enlighet med Common Methodology for Information Technology Security Evaluation (CEM). CEM utgör en metodbeskrivning för de som evaluerar produkterna.

Common Criteria-standarden har bland annat använts för evaluering och certifiering av integrerade kretsar samt smarta kort, och även i stor utsträckning för att certifiera nätverksprodukter och mjukvaruprodukter.

EUCC baseras till stor del på det befintliga samarbetet och ramverket som utvecklats för nationella Common Criteria-ordningar och som verkar under Senior Officials Group on Information Systems Security Mutual Recognition Agreement (SOG-IS MRA).

Eftersom Common Criteria kan stödja många olika typer av certifieringar, både generiska och för sektorspecifika IKT-produkter, kan den karakteriseras som en horisontell certifieringsordning. Användare av certifieringsordningen kan sedan använda så kallade skyddsprofiler (Protection Profiles eller ”PP”) för att uttrycka sina säkerhetskrav för en specifik typ av IKT-produkt.

EUCC baserar certifieringen av IKT-produkter på CC, CEM och motsvarande standarder (ISO/IEC 15408 respektive ISO/IEC 18045).

Omfattning

EUCC tillåter cybersäkerhetscertifiering av IKT-produkter enligt Common Criteria. Den täcker alla typer av IKT-produkter som inkluderar säkerhetsfunktionskrav, enligt definitionen i Common Criteria. Den omfattar inte självutvärdering av överensstämmelse eller certifiering av produktions- eller utvecklingsanläggningar. EUCC innehåller även möjlighet att certifiera skyddsprofiler i form av en IKT-process.

Utgångspunkten för certifiering enligt EUCC är en vald sårbarhetsanalysnivå (Vulnerability Analysis), så kallad AVA_VAN. Evaluation Assurance Level (EAL) används vanligtvis inom Common Criteria-certifiering, men AVA_VAN-nivån är utgångspunkten för EUCC:s assuransnivåer.

Certifiering över nivån AVA_VAN.3 för IKT-produkter som inte omfattas av en så kallad teknisk domän (t.ex. smarta kort samt hårdvaruprodukter med säkerhetsboxar) kommer endast att vara möjlig baserad på en specifik skyddsprofil som har certifierats och godkänts som ett ”state-of-the-art”-dokument enligt EUCC. Denna skyddsprofil ska då inkludera obligatorisk vägledning för den specifika utvärderingsmetoden.

Genomförandeakten för EUCC

Europeisk certifieringsordning för molntjänster (EUCS)

En europeisk certifieringsordning för molntjäner (EUCS) håller på att tas fram av Enisa. EUCS syftar till att öka förtroendet för molntjänster genom att definiera säkerhetskrav och inkludera krav på transparens rörande vissa aspekter i utformningen och genomförandet av molntjänsten.

Inom EUCS kan så kallade Extension Profiles utvecklas för att tillgodose olika behov, till exempel för specifika sektorer eller sområden. En sådan profil täcker endast säkerhetsmålsättningar och krav och kan inte göra avsteg från ordningens grundläggande säkerhetskrav.

EUCS innehåller även förslag som rör sammansättning av molntjänster. Om en primär molntjänst bygger på en sekundär molntjänst som redan är certifierad enligt EUCS, så kan bedömning av kraven för den primära molntjänsten bygga på den underliggande certifieringen.

EUCS ställer också krav på att molntjänstleverantörer kontinuerligt ska arbeta med att hantera och rapportera sårbarheter.

Omfattning

EUCS omfattar cybersäkerhetscertifiering av molntjänster. Molntjänster definieras som funktioner som erbjuds via moln och som anropas med ett definierat gränssnitt. Definitionen av molntjänster är hämtad ifrån ISO/IEC 22123.1 Cloudcomputingoch alla typer av molntjänster, det vill säga Infrastucture-as-a-Service (IaaS), Platform-as-a-Service (PaaS) och Software-as-a-Service (SaaS), ska kunna certifieras. Molntyper som är publika, hybrida och privata omfattas och ska kunna certifieras.

Europeisk certifieringsordning för 5G-system (EU5G)

På Europeiska kommissionens begäran är ett förslag till europeisk certifieringsordning för 5G också under utveckling av Enisa. Certifieringsordningen för 5G avses bestå av flera olika delar och kunna leda till olika typer av certifikat, dels för vissa IKT-produkter och dels vissa IKT-processer.

Inom EU5G ska det gå att certifiera vissa IKT-produkterbaserat på certifieringsordningen Network Equipment Security Assurance Scheme (NESAS) som utvecklats inom företagskonsortiet GSM Association (GSMA). Detta handlar primärt om viss nätverksutrustning som behövs inom 5G-system.

En annan typ av IKT-produkt som avses certifieras är det som kallas embedded Universal Integrated Circuit Card (eUICC), också kallat embedded Subscriber Identity Module (eSIM), vilket förenklat är den mjuk- och/eller hårdvara som numera integreras i telefoner och som tidigare utgjordes av det klassiska SIM-kortet.

Slutligen kommer två IKT-processer att kunna certifieras inom EU5G-ordningen;

  • dels hantering över internet av eSIM, det vill säga 5G-användarnas profiler i telefonen, baserat på GSMA:s certifieringsordning Security Accreditation Scheme-Subscription Management (SAS-SM),
  • dels konfigureringen av eUICC/eSIM, baserat på GSMA:s certifieringsordning Security Accreditation Scheme-UICC Production (SAS-UP).