Konsultacje aktu implementującego pierwszego europejskiego programu certyfikacji cyberbezpieczeństwa - EUCC
09.10.2023
Rozpoczyna się proces ustawodawczy pierwszego europejskiego programu certyfikacji cyberbezpieczeństwa - EUCC (Common Criteria based European candidate cybersecurity certification scheme). Zbieranie opinii odnośnie tego aktu prawnego potrwa do 31 października br. Zachęcamy do przesyłania opinii na temat regulacji.
EUCC to program certyfikacji produktów z zakresu technologii informacyjnych, oparty o międzynarodowe kryteria Common Criteria. Zastąpi dotychczasowy program SOG-IS i będzie stosowany we wszystkich państwach członkowskich.
EUCC jest programem dobrowolnej certyfikacji, opartym na kryteriach i metodologii znanych od ponad dwudziestu lat. Będzie umożliwiał ocenę produktów na dwóch - zdefiniowanych w europejskim Akcie o Cyberbezpieczeństwie - poziomach uzasadnienia zaufania „istotnym” i „wysokim”.
Program zawiera zharmonizowane warunki obsługi podatności i wymiany informacji oraz czytelnie wskazane zasady monitoringu i obsługi problemów ze zgodnością. Wprowadza również nowe zasady usuwania podatności produktów na cyberataki.
Program pozwoli na certyfikację produktów ICT zgodnie z metodologią Common Criteria. Każdy wydany certyfikat będzie dowodził, że produkt, który go otrzymał spełnia odpowiednie wymagania z zakresu cyberbezpieczeństwa. Certyfikat odwołujący się do poziomu uzasadnienia zaufania „wysoki” będzie stanowił dowód, że produkt powinien oprzeć się nawet szczególnie zaawansowanym cyberatakom.
Certyfikat wydany w ramach tego programu będzie uznawany na całym terytorium Unii Europejskiej.
Uwagi do ww. dokumentu można przesyłać bezpośrednio do Komisji Europejskiej na stronie - https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13382-Cybersecurity-security-requirements-for-ICT-product-certification_en .
Zachęcamy również do przesyłania opinii i stanowisk do na adres: sekretariat.dc@cyfra.gov.pl.