Sdílejte:

Evropská certifikace kybernetické bezpečnosti

Nový standard pro ICT produkty a služby

Publikováno: 25. 06. 2024

Evropská unie pracuje na vytvoření jednotné certifikace kybernetické bezpečnosti pro produkty, služby a procesy. Tento krok je součástí širší iniciativy zaměřené na posílení kybernetické bezpečnosti v rámci členských států a zajištění vyšší úrovně ochrany proti kybernetickým hrozbám. Certifikační schéma pro ICT produkty, známé jako EUCC (EU Cybersecurity Certification Scheme for ICT products), bylo přijato Evropskou komisí. 

Aktuální stav a výhled do budoucna

K přijetí schématu EUCC (EU Cybersecurity Certification Scheme for ICT products) Evropskou komisí oficiálně došlo 31.ledna 2024. Další kroky zahrnují implementaci tohoto schématu v jednotlivých členských státech a poskytování certifikací pro první produkty a služby, které splňují stanovené požadavky.

Toto schéma, vycházející z legislativního rámce stanoveného aktem o kybernetické bezpečnosti, představuje zásadní průlom v zabezpečení produktů informačních a komunikačních technologií (ICT produktů) v rámci Evropské unie. 

Prováděcí nařízení bylo dne 7. února 2024 zveřejněno v Úředním věstníku Evropské unie a vstoupilo v platnost 27. února 2024. Samotné certifikace mohou být udělovány o rok později, tedy od 27. února 2025. V tomto období mají subjekty posuzující shodu prostor k akreditaci nebo autorizaci a výrobci mají čas na přípravu svých výrobků tak, aby splnily podmínky pro certifikaci.

Akreditace a její význam pro firmy

Pro firmy to znamená možnost získání certifikace, která potvrzuje, že jejich ICT produkty splňují evropské bezpečnostní standardy. Tato certifikace může zvýšit jejich konkurenceschopnost na trhu EU, protože poskytuje důkaz o splnění jednotných požadavků na bezpečnost. Firmy budou muset připravit své produkty a procesy na splnění těchto certifikačních požadavků, což může zahrnovat investice do bezpečnostních opatření a úprav existujících procesů. 

Co to znamená pro spotřebitele?

Ujištění, že certifikované produkty splňují vysoké bezpečnostní standardy. Zlepšení ochrany osobních dat a bezpečnosti při používání digitálních produktů a služeb. 

Výsledný certifikát bude uznáván ve všech členských státech EU. Certifikát by měl zajistit usnadnění spolupráce v rámci EU a lepší porozumění bezpečnostním funkcím produktů a služeb. 

Kdo musí mít danou certifikaci?

Certifikaci musí mít všechny ICT produkty, které chtějí firmy uvádět na trh v rámci Evropské unie a které spadají pod požadavky stanovené v EUCC. To zahrnuje širokou škálu produktů od softwaru přes hardwarová zařízení až po služby ICT. Povinnost certifikace závisí na konkrétních požadavcích a úrovních záruky, stanovených pro různé typy produktů a služeb.

Jaké procesy musí být certifikovány?

Certifikovány musí být procesy související s vývojem, implementací a údržbou ICT produktů a služeb. To zahrnuje bezpečnostní procesy, které zajišťují, že produkty jsou navrženy, vyvinuty a provozovány s ohledem na bezpečnostní rizika. Procesy zahrnují například řízení rizik, testování bezpečnosti, aktualizace a opravy softwaru, ochranu dat a další kritické oblasti kybernetické bezpečnosti. 

Vliv na novelu kybernetického zákona:

Přijetí certifikačního schématu EUCC bude mít vliv na novelizaci zákonů o kybernetické bezpečnosti v jednotlivých členských státech, včetně České republiky. NÚKIB bude muset upravit stávající legislativu tak, aby byla v souladu s novými evropskými požadavky. To může zahrnovat zavedení nových povinností pro firmy a poskytovatele služeb, stejně jako aktualizaci standardů a požadavků na kybernetickou bezpečnost. 

zakon-.png

Kdo bude certifikovat?

Certifikaci budou provádět vnitrostátní certifikační orgány, které musí být akreditovány podle pravidel stanovených nařízením o kybernetické bezpečnosti. Tyto orgány jsou v jednotlivých členských státech EU. 

Evropská agentura pro kybernetickou bezpečnost (ENISA) bude hrát klíčovou roli při koordinaci a podpoře těchto orgánů, stejně jako při vypracovávání a aktualizaci EUCC.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB):

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) aktivně reaguje na nový vývoj v oblasti kybernetické bezpečnosti, kterým je přijetí certifikačního schématu EUCC Evropskou komisí. V souvislosti s EUCC přichází NÚKIB s online platformou nazvanou EU certifikace kybernetické bezpečnosti (odkaz), která poskytuje ucelený přehled a veškeré relevantní informace nejen o samotném certifikačním schématu EUCC, ale i o dalších aspektech kybernetické bezpečnosti. 

Kromě toho, Evropská komise zveřejnila rozsáhlý soubor materiálů týkajících se certifikačního schématu EUCC, včetně samotného nařízení, tiskových zpráv a dalších relevantních informací, které jsou k dispozici na jejich oficiálních webových stránkách. Tímto způsobem se snaží podpořit širokou i odbornou veřejnost k dalšímu šíření a adaptaci dle EUCC. 

Prováděcí nařízení naleznete v odkazu zde: Prováděcí nařízení – EU – 2024/482 – CS – EUR-Lex.

Oficiální webové stránky Evropské komise a ENISA

Evropská komise a Evropská agentura pro kybernetickou bezpečnost (ENISA) zveřejňují materiály týkající se certifikačního schématu EUCC, včetně samotného nařízení, tiskových zpráv a dalších relevantních informací. Firmy by měly pravidelně kontrolovat tyto zdroje pro nejnovější aktualizace a pokyny. Oficiální webové stránky ENISA: https://www.enisa.europa.eu/. 

Kroky k získání certifikace

Příprava produktů a služeb: Firmy musí zajistit, aby jejich ICT produkty a služby splňovaly požadavky certifikačního schématu EUCC, včetně souladu s bezpečnostními standardy a procesy. 

Kontaktování akreditovaného certifikačního orgánu: Firmy by měly kontaktovat akreditovaný certifikační orgán ve svém členském státě, aby zahájily proces certifikace. V České republice je to Český institut pro akreditaci (ČIA): ČIA je odpovědná za akreditaci certifikačních orgánů v České republice. Firmy mohou kontaktovat ČIA pro informace o akreditovaných certifikačních orgánech, které mohou provádět certifikaci ICT produktů a služeb podle schématu EUCC. Oficiální webové stránky: https://www.cai.cz/. 

Posouzení a certifikace: Certifikační orgán provede posouzení produktů a služeb podle stanovených kritérií. Po úspěšném posouzení bude firmě udělena certifikace. 

Pravidelné audity a aktualizace: Firmy musí pravidelně aktualizovat své produkty a služby a podstupovat audity, aby zajistily průběžnou shodu s certifikačními požadavky. 

Pro více informací a konkrétní kroky by firmy měly pravidelně sledovat aktualizace na webových stránkách ČIA a NÚKIB, kde budou zveřejňovány aktuální informace o akreditovaných certifikačních orgánech a dalších požadavcích souvisejících s certifikací EUCC. 

Pomůžeme vám se získáním Evropské certifikace kybernetické bezpečnosti

Společnost ARION spol. s r.o., jako správce IT, může hrát významnou roli v přípravě firmy na získání certifikace kybernetické bezpečnosti podle schématu EUCC. I když samotnou certifikaci musí provádět akreditovaný certifikační orgán, ARION spol. s r.o. může pomoci firmám v několika klíčových oblastech, kterými jsou:  

Posouzení stávajícího stavu bezpečnosti: 

ARION spol. s r.o. může provést audit současných bezpečnostních opatření a procesů firmy, aby identifikovala slabiny a oblasti, které je třeba zlepšit, aby splňovaly požadavky certifikačního schématu EUCC. 

Implementace bezpečnostních opatření: 

ARION spol. s r.o. může pomoci firmám implementovat nezbytná bezpečnostní opatření a procesy, které jsou vyžadovány pro získání certifikace. To může zahrnovat instalaci bezpečnostních systémů, zavedení bezpečnostních politik a postupů, školení zaměstnanců a další. 

Příprava dokumentace: 

Příprava a správa dokumentace je klíčovou součástí certifikačního procesu. ARION spol. s r.o. může pomoci s vytvořením a údržbou dokumentace, která bude vyžadována při auditech certifikačním orgánem. 

Podpora při auditu: 

ARION spol. s r.o. může poskytnout podporu během certifikačního auditu, včetně přípravy na audit, asistence při odpovídání na dotazy auditorů a řešení případných problémů, které mohou během auditu vyvstat. 

Kontinuální zlepšování: 

Po získání certifikace může ARION spol. s r.o. pomoci firmě s udržením a zlepšováním bezpečnostních opatření, abyste tak nadále plnili požadavky certifikačního schématu při pravidelných recertifikacích.

závěr

Spolupráce s ARION spol. s r.o. může výrazně přispět k úspěšnému získání této evropské certifikace. Jsme tu pro vás a rádi zodpovíme veškeré vaše dotazy, kontaktujte nás zde 

konec-shrnuti-scaled.jpg

Starší příspěvky:

S umělou inteligencí se setkáváme stále častěji, a abychom z AI nástrojů vytěžili maximum, je důležité se v nich umět orientovat.

Výběr správného plánu Microsoft 365 je klíčový pro efektivní fungování vaší firmy. Microsoft nabízí různé licenční plány, které se liší

Evropská certifikace kybernetické bezpečnosti

Evropská unie pracuje na vytvoření jednotné certifikace kybernetické bezpečnosti pro produkty, služby a procesy. Tento krok je součástí širší iniciativy zaměřené na posílení kybernetické bezpečnosti v rámci členských států a zajištění vyšší úrovně ochrany proti kybernetickým hrozbám. Certifikační schéma pro ICT produkty, známé jako EUCC (EU Cybersecurity Certification Scheme for ICT products), bylo přijato Evropskou komisí. 

Aktuální stav a výhled do budoucna

K přijetí schématu EUCC (EU Cybersecurity Certification Scheme for ICT products) Evropskou komisí oficiálně došlo 31.ledna 2024. Další kroky zahrnují implementaci tohoto schématu v jednotlivých členských státech a poskytování certifikací pro první produkty a služby, které splňují stanovené požadavky.

Toto schéma, vycházející z legislativního rámce stanoveného aktem o kybernetické bezpečnosti, představuje zásadní průlom v zabezpečení produktů informačních a komunikačních technologií (ICT produktů) v rámci Evropské unie. 

Prováděcí nařízení bylo dne 7. února 2024 zveřejněno v Úředním věstníku Evropské unie a vstoupilo v platnost 27. února 2024. Samotné certifikace mohou být udělovány o rok později, tedy od 27. února 2025. V tomto období mají subjekty posuzující shodu prostor k akreditaci nebo autorizaci a výrobci mají čas na přípravu svých výrobků tak, aby splnily podmínky pro certifikaci.

Akreditace a její význam pro firmy

Pro firmy to znamená možnost získání certifikace, která potvrzuje, že jejich ICT produkty splňují evropské bezpečnostní standardy. Tato certifikace může zvýšit jejich konkurenceschopnost na trhu EU, protože poskytuje důkaz o splnění jednotných požadavků na bezpečnost. Firmy budou muset připravit své produkty a procesy na splnění těchto certifikačních požadavků, což může zahrnovat investice do bezpečnostních opatření a úprav existujících procesů. 

Co to znamená pro spotřebitele?

Ujištění, že certifikované produkty splňují vysoké bezpečnostní standardy. Zlepšení ochrany osobních dat a bezpečnosti při používání digitálních produktů a služeb. 

Výsledný certifikát bude uznáván ve všech členských státech EU. Certifikát by měl zajistit usnadnění spolupráce v rámci EU a lepší porozumění bezpečnostním funkcím produktů a služeb. 

Kdo musí mít danou certifikaci?

Certifikaci musí mít všechny ICT produkty, které chtějí firmy uvádět na trh v rámci Evropské unie a které spadají pod požadavky stanovené v EUCC. To zahrnuje širokou škálu produktů od softwaru přes hardwarová zařízení až po služby ICT. Povinnost certifikace závisí na konkrétních požadavcích a úrovních záruky, stanovených pro různé typy produktů a služeb.

Jaké procesy musí být certifikovány?

Certifikovány musí být procesy související s vývojem, implementací a údržbou ICT produktů a služeb. To zahrnuje bezpečnostní procesy, které zajišťují, že produkty jsou navrženy, vyvinuty a provozovány s ohledem na bezpečnostní rizika. Procesy zahrnují například řízení rizik, testování bezpečnosti, aktualizace a opravy softwaru, ochranu dat a další kritické oblasti kybernetické bezpečnosti. 

Vliv na novelu kybernetického zákona:

Přijetí certifikačního schématu EUCC bude mít vliv na novelizaci zákonů o kybernetické bezpečnosti v jednotlivých členských státech, včetně České republiky. NÚKIB bude muset upravit stávající legislativu tak, aby byla v souladu s novými evropskými požadavky. To může zahrnovat zavedení nových povinností pro firmy a poskytovatele služeb, stejně jako aktualizaci standardů a požadavků na kybernetickou bezpečnost. 

zakon-.png

Kdo bude certifikovat?

Certifikaci budou provádět vnitrostátní certifikační orgány, které musí být akreditovány podle pravidel stanovených nařízením o kybernetické bezpečnosti. Tyto orgány jsou v jednotlivých členských státech EU. 

Evropská agentura pro kybernetickou bezpečnost (ENISA) bude hrát klíčovou roli při koordinaci a podpoře těchto orgánů, stejně jako při vypracovávání a aktualizaci EUCC.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB):

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) aktivně reaguje na nový vývoj v oblasti kybernetické bezpečnosti, kterým je přijetí certifikačního schématu EUCC Evropskou komisí. V souvislosti s EUCC přichází NÚKIB s online platformou nazvanou EU certifikace kybernetické bezpečnosti (odkaz), která poskytuje ucelený přehled a veškeré relevantní informace nejen o samotném certifikačním schématu EUCC, ale i o dalších aspektech kybernetické bezpečnosti. 

Kromě toho, Evropská komise zveřejnila rozsáhlý soubor materiálů týkajících se certifikačního schématu EUCC, včetně samotného nařízení, tiskových zpráv a dalších relevantních informací, které jsou k dispozici na jejich oficiálních webových stránkách. Tímto způsobem se snaží podpořit širokou i odbornou veřejnost k dalšímu šíření a adaptaci dle EUCC. 

Prováděcí nařízení naleznete v odkazu zde: Prováděcí nařízení – EU – 2024/482 – CS – EUR-Lex.

Oficiální webové stránky Evropské komise a ENISA

Evropská komise a Evropská agentura pro kybernetickou bezpečnost (ENISA) zveřejňují materiály týkající se certifikačního schématu EUCC, včetně samotného nařízení, tiskových zpráv a dalších relevantních informací. Firmy by měly pravidelně kontrolovat tyto zdroje pro nejnovější aktualizace a pokyny. Oficiální webové stránky ENISA: https://www.enisa.europa.eu/. 

Kroky k získání certifikace

Příprava produktů a služeb: Firmy musí zajistit, aby jejich ICT produkty a služby splňovaly požadavky certifikačního schématu EUCC, včetně souladu s bezpečnostními standardy a procesy. 

Kontaktování akreditovaného certifikačního orgánu: Firmy by měly kontaktovat akreditovaný certifikační orgán ve svém členském státě, aby zahájily proces certifikace. V České republice je to Český institut pro akreditaci (ČIA): ČIA je odpovědná za akreditaci certifikačních orgánů v České republice. Firmy mohou kontaktovat ČIA pro informace o akreditovaných certifikačních orgánech, které mohou provádět certifikaci ICT produktů a služeb podle schématu EUCC. Oficiální webové stránky: https://www.cai.cz/. 

Posouzení a certifikace: Certifikační orgán provede posouzení produktů a služeb podle stanovených kritérií. Po úspěšném posouzení bude firmě udělena certifikace. 

Pravidelné audity a aktualizace: Firmy musí pravidelně aktualizovat své produkty a služby a podstupovat audity, aby zajistily průběžnou shodu s certifikačními požadavky. 

Pro více informací a konkrétní kroky by firmy měly pravidelně sledovat aktualizace na webových stránkách ČIA a NÚKIB, kde budou zveřejňovány aktuální informace o akreditovaných certifikačních orgánech a dalších požadavcích souvisejících s certifikací EUCC. 

Pomůžeme vám se získáním Evropské certifikace kybernetické bezpečnosti

Společnost ARION spol. s r.o., jako správce IT, může hrát významnou roli v přípravě firmy na získání certifikace kybernetické bezpečnosti podle schématu EUCC. I když samotnou certifikaci musí provádět akreditovaný certifikační orgán, ARION spol. s r.o. může pomoci firmám v několika klíčových oblastech, kterými jsou:  

Posouzení stávajícího stavu bezpečnosti: 

ARION spol. s r.o. může provést audit současných bezpečnostních opatření a procesů firmy, aby identifikovala slabiny a oblasti, které je třeba zlepšit, aby splňovaly požadavky certifikačního schématu EUCC. 

Implementace bezpečnostních opatření: 

ARION spol. s r.o. může pomoci firmám implementovat nezbytná bezpečnostní opatření a procesy, které jsou vyžadovány pro získání certifikace. To může zahrnovat instalaci bezpečnostních systémů, zavedení bezpečnostních politik a postupů, školení zaměstnanců a další. 

Příprava dokumentace: 

Příprava a správa dokumentace je klíčovou součástí certifikačního procesu. ARION spol. s r.o. může pomoci s vytvořením a údržbou dokumentace, která bude vyžadována při auditech certifikačním orgánem. 

Podpora při auditu: 

ARION spol. s r.o. může poskytnout podporu během certifikačního auditu, včetně přípravy na audit, asistence při odpovídání na dotazy auditorů a řešení případných problémů, které mohou během auditu vyvstat. 

Kontinuální zlepšování: 

Po získání certifikace může ARION spol. s r.o. pomoci firmě s udržením a zlepšováním bezpečnostních opatření, abyste tak nadále plnili požadavky certifikačního schématu při pravidelných recertifikacích.

závěr

Spolupráce s ARION spol. s r.o. může výrazně přispět k úspěšnému získání této evropské certifikace. Jsme tu pro vás a rádi zodpovíme veškeré vaše dotazy, kontaktujte nás zde 

konec-shrnuti-scaled.jpg

Sdílet aktualitu:

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.