Nový rámec, který je přísnější než stávající dohody o uznávání (certifikace Common Criteria (CCRA), dohoda SOG-IS nebo certifikace „EU Restricted“), posiluje pozici Evropské unie v otázkách kybernetické bezpečnosti. To členským státům umožní se jednotně postavit proti kybernetickým útokům.

Položení základů pro společnou budoucnost bezpečnosti

Kromě důležitosti, kterou nabyla Evropská agentura pro bezpečnost sítí a informací (ENISA), má akt o kybernetické bezpečnosti zlepšit celkovou úroveň zabezpečení Evropy tím, že stanoví společná pravidla certifikace. Společnost, která získala certifikaci např. v Itálii, bude nyní moci používat tuto „evropskou značku“ ve Francii, Španělsku nebo Německu, aniž by musela v těchto zemích podnikat další kroky.

Tyto certifikace jsou doprovázeny společným referenčním rámcem se třemi úrovněmi bezpečnosti: základní, podstatná a vysoká. Tyto tři úrovně odrážejí úroveň důvěry v IT řešení nebo služby včetně připojených objektů – ať už jde o spotřební nebo více technické produkty (například připojená zdravotnická zařízení).

Rozlišování mezi IT a bezpečnostními řešeními

Naproti tomu se národní certifikace – například ANSSI ve Francii – zaměřují na úroveň důvěry u kyberbezpečnostních řešení, jako jsou smart karty, digitální certifikáty nebo jiné bezpečnostní produkty. Při rozlišování mezi IT a bezpečnostními řešeními jsou nuance zásadní. Vzhledem k tomu, že jsou evropské certifikace navrženy pro širší oblast než samotná kybernetická bezpečnost, je jejich úroveň požadavků nutně nižší. To v současné době stačí k vytvoření některých rezervací.

Ve Francii, která má co do digitální bezpečnosti náskok, je hlavním problémem fakt, že nejvyšší úroveň evropských certifikací by odpovídala nejnižší úrovni těch francouzských. Takové rozostření, které by umožnilo upřednostňovat méně spolehlivá řešení před ostatními, by mohlo pro kybernetickou bezpečnost představovat skutečné riziko. V zájmu ochrany tak bude mít každá země Evropské unie možnost udržovat svrchované národní úrovně souběžně s evropskou certifikací.

Francie zejména prostřednictvím ANSSI udržuje nad rámec certifikace své vlastní kvalifikační úrovně (základní, standardní, rozšířené), které jsou vyžadovány pro provoz v národních kritických infrastrukturách. Stručně řečeno, řešení již certifikovaná ANSSI – jako jsou řešení společnosti Stormshield – by proto již odpovídala úrovni certifikace vyšší nebo rovné evropským požadavkům.

Zatímco některé detaily týkající se implementace aktu o kybernetické bezpečnosti je stále třeba upřesnit, toto nařízení je pro evropskou kybernetickou bezpečnost dobrým znamením. Kromě krátkodobé harmonizace pomohou tyto právní předpisy utvářet bezpečnější digitální budoucnost.

Pracovní skupina pro evropský certifikační systém

Na konci listopadu 2019 měla společnost Stormshield tu čest a výsadu účastnit se pracovní skupiny pověřené definováním prvního evropského systému certifikace kybernetické bezpečnosti v návaznosti na zmíněný akt.

Stormshield byl jako jediný evropský výrobce kyberbezpečnostních řešení vybrán do této pracovní skupiny spolu s agenturou ENISA a dalšími partnery, jako jsou ANSSI, BSI a CCN.

Cílem této první skupiny je navrhnout společná hodnotící kritéria. Chcete-li se dozvědět více, podívejte se na novinky na webu ENISA.

Autoři: Stéphane Prevost, Matthieu Bonenfant, Stormshield

Překlad a úpravy: Jan Mazal, VPGC - www.vpgc.com

Zdroj: Cybersecurity Act: an initial signal sent by Europe a At the centre of tomorrow’s European certifications

