Information om cookies

På fmv.se används kakor (cookies). Kakor används för att webbplatsen ska fungera på bästa sätt. Om du fortsätter, utan att ändra inställningarna i din dator, så godkänner du att kakor från fmv.se används.

Detta skapar en automatisk översättning med Google Translate. Försvarets materielverk tar inte ansvar för eventuella fel.

Du behöver godkänna funktionella kakor för att använda den här funktionen.

Kontakt
Det europeiska ramverket för cybersäkerhetscertifiering

Europeisk Common Criteria-baserad ordning för cybersäkerhetscertifiering (EUCC)

Den europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) är en certifieringsordning som beslutats inom ramen för EU:s cybersäkerhetsakt (CSA).

EUCC-ordningen är den första certifieringsordningen som utvecklats under CSA. Den har antagits av Europeiska kommissionen i form av en genomförandeförordning (2024/482) och trädde i kraft den 27 februari 2024. Certifieringsordningen har ett års genomförandetid och tillämpas fullt ut från och med den 27 februari 2025. Under det första året tillämpas bara den del som rör organ för bedömning av överensstämmelse för att möjliggöra att dessa finns på plats för utfärdande av certifikat när huvuddelen av certifieringsordningen träder i kraft.

Det finns en övergångsbestämmelse i genomförandeförordningen för EUCC som innebär att så kallade nationella ordningar kommer att upphöra att ha verkan från och med 12 månader efter ikraftträdandet av EUCC. Detta kan påverka nuvarande ordningar som finns bland annat inom ramen för Common Criteria Recognition Arrangement (CCRA). Övergångsbestämmelsen möjliggör dock för fortsatt certifiering så länge de har inletts inom 12 månader från EUCC:s ikraftträdande och avslutas inom 24 månader (se artikel 49 i EUCC:s genomförandeförordning).

EUCC-ordningen är baserad på den internationella Common Criteria-standarden (ISO/IEC 15408) som utformats för att utföra oberoende säkerhetsevalueringar av IKT-produkter. Common Criteria (CC) gör detta genom att tillhandahålla en gemensam uppsättning krav för säkerhetsfunktionaliteten samt de säkerhetsåtgärder som tillämpas på dessa produkter under en säkerhetsutvärdering. IKT-produkter omfattar i detta sammanhang hårdvara, mjukvara samt fast programvara.

Evalueringar utförs i enlighet med Common Methodology for Information Technology Security Evaluation (CEM) som är en metodbeskrivning för evaluering   av produkter.

Common Criteria-standarden har bland annat använts för evaluering och certifiering av integrerade kretsar samt smarta kort, och även i stor utsträckning för att certifiera nätverksprodukter och mjukvaruprodukter.

EUCC baseras till stor del på det befintliga samarbetet och ramverket som utvecklats för nationella Common Criteria-ordningar och som verkar under Senior Officials Group on Information Systems Security Mutual Recognition Agreement (SOG-IS MRA).

Eftersom Common Criteria kan stödja många olika typer av certifieringar, både av generiska och sektorspecifika IKT-produkter, kan den karakteriseras som en horisontell certifieringsordning. Användare av certifieringsordningen kan använda så kallade skyddsprofiler (Protection Profiles eller ”PP”) för att uttrycka sina säkerhetskrav för en specifik typ av IKT-produkt.

EUCC baserar certifieringen av IKT-produkter på CC, CEM och motsvarande standarder (ISO/IEC 15408 respektive ISO/IEC 18045).

Omfattning

EUCC tillåter cybersäkerhetscertifiering av IKT-produkter enligt Common Criteria. Den täcker alla typer av IKT-produkter som inkluderar säkerhetsfunktionskravenligt definitionen i Common Criteria. Den omfattar inte självutvärdering av överensstämmelse eller certifiering av produktions- eller utvecklingsanläggningar. EUCC innehåller även möjlighet att certifiera skyddsprofiler i form av en IKT-process.

Utgångspunkten för certifiering enligt EUCC är en vald sårbarhetsanalysnivå (Vulnerability Analysis), så kallad AVA_VAN. Evaluation Assurance Level (EAL) används vanligtvis inom Common Criteria-certifiering, men AVA_VAN-nivån är utgångspunkten för EUCC:s assuransnivåer.

Certifiering över nivån AVA_VAN.3 av IKT-produkter som inte omfattas av en så kallad teknisk domän (t.ex. smarta kort samt hårdvaruprodukter med säkerhetsboxar) kommer främst att vara möjlig baserad på en specifik skyddsprofil som har certifierats och godkänts som ett ”state-of-the-art”-dokument enligt EUCC. Denna skyddsprofil ska då inkludera vägledning för den specifika utvärderingsmetoden.