- Anežka Karpjáková
Jednou z cest, jak může společnost posílit svou bezpečnost a zajistit shodu s právními a regulačními požadavky je získání certifikace. Významným milníkem v rámci certifikačního procesu bylo přijetí Nařízení o Agentuře Evropské unie pro kybernetickou bezpečnost a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (dále jen „Akt o kybernetické bezpečnosti“), kterému se tento článek především věnuje.
Co je to certifikace?
Certifikace v rámci kybernetické bezpečnosti je proces, kterým se ověřuje, že konkrétní produkty, služby nebo procesy splňují minimální bezpečnostní standardy pro danou kategorii. Cílem je zvýšit důvěru v tyto produkty a služby tím, že se zajistí jejich ochrana dostupnosti, důvěrnosti a integrity.
Pro získání certifikátu musí společnost v první řadě zajistit, že jejich produkty, služby nebo procesy splňují všechny požadavky stanovené v certifikačním schématu. To zahrnuje implementaci potřebných bezpečnostních opatření a přípravu dokumentace. Následně společnost podá žádost o certifikaci u akreditovaného certifikačního orgánu, který vyhodnotí, jestli jsou daná kritéria splněna. Takové vyhodnocení může zahrnovat například provedení auditu, testování nebo jiné formy ověření splnění stanoveného standardu pro daný produkt, službu nebo proces.
V případě získání certifikátu však celý proces nekončí, jelikož společnosti musí nadále průběžně monitorovat a udržovat bezpečnostní opatření, aby zajistily, že stále splňují požadavky certifikace.
Jak to bylo před Aktem o kybernetické bezpečnosti?
Přestože již před přijetím Aktu o kybernetické bezpečnosti některé členské státy pracovaly s vlastními certifikačními schématy, byla certifikace v oblasti kybernetické bezpečnosti využívána pouze omezeně a jen v určitých průmyslových odvětvích. Některé členské státy naopak neměly certifikační autoritu pro danou oblast vůbec stanovenou, a to především z důvodu enormních investic pro vybudování testovacích laboratoří.
Důvodem byla také skutečnost, že dosud chyběla regulace, která by stanovovala jednotný a celoevropský systém zaručující stejná pravidla a úroveň zabezpečení pro všechny členské státy. Tento stav byl dlouhodobě nevyhovující zejména pro podniky, které nabízejí své služby či produkty ve více státech, jelikož ve většině případů musely podstoupit certifikaci v několika členských státech zvlášť (jelikož obecně certifikát vydaný v jednom členském státu nebyl automaticky uznatelný v jiných členských státech), což společnostem způsobovalo značnou finanční i administrativní zátěž. Ačkoliv existovala tzv. mezinárodní dohoda SOC-IT o vzájemném uznávání, tato dohoda zahrnovala pouze některé členské státy EU.
Certifikace podle Aktu o kybernetické bezpečnosti
Vše se ale změnilo přijetím Aktu o kybernetické bezpečnosti, který vstoupil v účinnost v červnu 2021. Dané nařízení totiž zavádí evropský rámec pro certifikaci kybernetické bezpečnosti produktů, služeb a procesů ICT, jež stanovuje pravidla a zásady pro tvorbu tzv. certifikačních schémat. V souladu s certifikačním rámcem budou následně přijímána Evropskou komisí certifikační schémata, která mají vést k zajištění, aby na základě stanovených procesů byly dle schválených certifikačních schémat vydávány univerzálně uznávané certifikáty pro produkty, služby a procesy v celé EU.
Na základě certifikačního rámce budou následně přijímána Evropskou komisí certifikační schémata, která budou obsahovat konkrétní soubor technických a organizačních požadavků, jež musí být splněny pro získání certifikace v určité oblasti kybernetické bezpečnosti.
V každém členském státě bude zřízena akreditační autorita, která bude oprávněna dané certifikáty vydávat.
Certifikát bude univerzálně platný ve všech členských státech EU, a proto společnostem postačí získat certifikát pro daný produkt nebo službu pouze v jednom státě. Certifikace není pro společnosti povinná, ale jak jsme zmiňovali výše, jde o vhodný a účinný způsob zajištění vysoké míry bezpečnosti ICT produktů a procesů a souladu s regulativními požadavky.
Proces přijetí Aktu o kybernetické bezpečnosti
Aktuální certifikační schémata
EUCC (European Common Criteria-based Certification Scheme)
Tento systém je založen na mezinárodní normě Common Criteria (ISO/IEC 15408) a je určen pro certifikaci kybernetické bezpečnosti produktů IKT. Platnost certifikátu je dána na pět let a lze jej obnovit.
EUCS (European Cybersecurity Certification Scheme for Cloud Services)
Tento systém se zaměřuje na certifikaci různých typů cloudových služeb.
EU5G
Certifikační schéma pro 5G sítě, které zajišťuje bezpečnostní standardy pro infrastrukturu a služby spojené s 5G technologiemi.
Certifikace pro spravované bezpečnostní služby
Tento systém se zaměřuje na certifikaci služeb jako jsou reakce na incidenty, penetrační testy, bezpečnostní audity a poradenství.
Lze však očekávat v nadcházejících letech přijetí dalších certifikačních schémat, které budou univerzálně platné napříč všemi členskými státy EU. Na samotný závěr je vhodné připomenout, že kromě certifikačních schémat přijatých na základě Aktu o kybernetické bezpečnosti se společnosti mohou rozhodnout získat jiné certifikační standardy, které jsou v současné době celosvětově rozšířené, a to zejména z řady ISO (např. ISO 9001 – Systémy managementu jakosti) nebo Common Criteria.
