Avrupa Komisyonu, Ortak Kriterlere (EUCC) ilişkin AB siber güvenlik sertifikasyon planına ilişkin uygulama yönetmeliğini kabul etti. Sonuç, ENISA’nın Avrupa Komisyonu tarafından yayınlanan bir talebe yanıt olarak hazırladığı EUCC’deki aday siber güvenlik sertifikasyon planıyla uyumludur.
Aday planının taslağını hazırlarken ENISA, sektör genelindeki alan uzmanlarından ve AB Üye Devletleri Ulusal Siber Güvenlik Sertifikasyon Otoritelerinden (NCCA’lar) oluşan Özel bir çalışma grubu (AHWG) tarafından desteklendi.
ENISA, Avrupa Siber Güvenlik Sertifikasyon Grubu (ECCG) aracılığıyla Üye Devletlerin rehberlik ve desteğine ve Paydaş Siber Güvenlik Sertifikasyon Grubunun (SCCG) katkılarına minnettardır.
Kabul edilecek ilk AB siber güvenlik sertifikasyon programı olan EUCC’nin, şu anda hazırlık aşamasında olan sonraki programların önünü açması bekleniyor. Bir uygulama tasarrufu “topluluk müktesebatının”, yani AB Hukukunun bir parçası olsa da, siber güvenlik sertifikasyon çerçevesi isteğe bağlıdır. Zamanla EUCC, daha önce SOG-IS anlaşması kapsamındaki ulusal sertifikasyon programlarının yerini alacak.
AB Siber Güvenlik Ajansı İcra Direktörü Juhan Lepassaar şunları vurguladı: “İlk siber güvenlik sertifikasyon programının kabul edilmesi, güvenilir bir AB dijital tek pazarına doğru bir kilometre taşıdır ve şu anda yapım aşamasında olan AB siber güvenlik sertifikasyon çerçevesinin yapbozunun bir parçasıdır. .”
EUCC nedir?
2019 Siber Güvenlik Yasası’nda öngörüldüğü gibi, yeni plan AB siber güvenlik sertifikasyon çerçevesi kapsamına giriyor. Bu çerçevenin amacı, AB Pazarındaki BİT ürün, hizmet ve süreçlerinin siber güvenlik düzeyini yükseltmekti. Bunu, Birlik genelinde uygulanacak teknik standart gereklilikleri, standartlar ve prosedürlerden oluşan kapsamlı bir dizi kural belirleyerek yapar.
Gönüllülük esasına dayanan yeni EUCC programı, güvence kanıtını sergilemek isteyen BİT tedarikçilerinin, teknolojik bileşenler (yongalar, akıllı kartlar), donanım ve yazılım gibi BİT ürünlerini sertifikalandırmak için AB’de yaygın olarak anlaşılan bir değerlendirme sürecinden geçmesine olanak tanır.
Program, halihazırda 17 AB Üye Devletinde kullanılan ve zamanla kanıtlanmış SOG-IS Ortak Kriterler değerlendirme çerçevesine dayanmaktadır. Bir kazanın olasılığı ve etkisi açısından ürünün, hizmetin veya sürecin amaçlanan kullanımına ilişkin risk düzeyine dayalı olarak iki güvence düzeyi önerir.
Kapsamlı araştırma ve istişarelere dayanan kapsamlı program, AB Üye Devletlerinin ihtiyaçlarına göre uyarlandı. Bu nedenle Birlik çapındaki sertifikasyon mekanizmaları Avrupalı işletmelerin ulusal düzeyde, Birlik düzeyinde ve küresel düzeyde rekabet etmesine olanak tanır.
Başka bir deyişle, EUCC gibi AB sertifikasyon programlarının, tedarikçilerin siber güvenlik sertifikasyon gerekliliklerine uymaları konusunda da bir teşvik görevi görmesi bekleniyor. EUCC, BİT ürün ve hizmetlerine adanmış değerlendirme metodolojileri ve organlarının gelişimini sürdürerek ENISA tarafından yayınlanan yeni raporda incelenen canlı siber sertifikasyon pazarına giriyor.
AB, yeni siber güvenlik planının uygulanması sırasında mevcut sertifikaların alınmasına izin veriyor
ENISA, geçici çalışma grubuyla birlikte aday programını güvenlik gereklilikleri ve genel olarak kabul edilen değerlendirme yöntemleriyle tanımlayıp üzerinde anlaşmaya vararak derledi.
ENISA, ECCG’nin görüşünü açıklamasının ardından taslak planı Avrupa Komisyonu’na iletti. Sonuç olarak Avrupa Komisyonu tarafından yayımlanan uygulama tasarrufu, daha sonra komitoloji prosedürü olarak bilinen ilgili prosedür kapsamında kabul edildi.
Kabul edilen yasa, kuruluşların seçilmiş Üye Devletler genelinde ulusal programlar kapsamındaki mevcut sertifikalardan yararlanmaya devam edebileceği bir geçiş dönemi öngörmektedir. EUCC’ye göre değerlendirme yapmakla ilgilenen Uygunluk Değerlendirme Kuruluşları (CAB’ler) akredite edilebilir ve bilgilendirilebilir. Satıcılar, çözümlerini EUCC’de belirtilen şekilde eklenen veya güncellenen gereksinimlere göre değerlendirdikten sonra mevcut SOG-IS sertifikalarını EUCC sertifikalarına dönüştürebilecekler.
EUCC kapsamında verilen sertifikalar ENISA tarafından yayınlanacaktır. ENISA ayrıca Uygulama Kanununu ve ekler, en son teknolojiye sahip belgeler ve kılavuzlar gibi destekleyici belgeleri özel sertifikasyon web sitesinde yayınlar. Avrupa Birliği Siber Güvenlik Ajansı da plandaki en son gelişmelere ilişkin ve uygulanmasını destekleyen bir video içeren destek materyali teklif ediyor.
Diğer AB siber güvenlik sertifikasyon programları
ENISA şu anda bulut hizmetlerinde EUCS ve 5G güvenliğinde EU5G olmak üzere iki siber güvenlik sertifikasyon programı daha üzerinde çalışıyor. Ajans ayrıca yapay zekaya ilişkin AB siber güvenlik sertifikasyonu gereklilikleri hakkında bir fizibilite çalışması gerçekleştirdi ve eIDAS/cüzdan için bir sertifikasyon stratejisi oluşturma konusunda Avrupa Komisyonu ve Üye Devletlere destek veriyor. Yakın zamanda Avrupa Komisyonu, Siber Güvenlik Yasası’nda yönetilen güvenlik hizmetlerine (MSSP’ler) yönelik bir plan öngören bir değişiklik önerdi.