Prijatím aktu o kybernetickej bezpečnosti v apríli 2019 urobila Európa ďalší krok k spoločnému zabezpečeniu a zavedeniu jeho jednotného rámca. Boli posilnené právomoci Európskej agentúry pre bezpečnosť sietí a informácií (ENISA), oznámené európskej certifikácie … čo môžeme od týchto predpisov očakávať?

Nový rámec, ktorý je prísnejší ako súčasné dohody o uznávaní (certifikácia Common Criteria (CCRA), dohoda SOG-IS alebo certifikácia „EU restricted“), posilňuje pozíciu Európskej únie v otázkach kybernetickej bezpečnosti. To umožní členským štátom jednotne sa postaviť proti kybernetickým útokom.

Položenie základov pre spoločnú budúcnosť bezpečnosti

Okrem dôležitosti, ktorú nadobudla Európska agentúra pre bezpečnosť sietí a informácií (ENISA), má akt o kybernetickej bezpečnosti zlepšiť celkovú úroveň zabezpečenia Európy tým, že stanovuje spoločné pravidlá certifikácie. Spoločnosť, ktorá získala certifikáciu napr. v Taliansku, bude teraz môcť používať túto „európsku značku“ vo Francúzsku, Španielsku alebo Nemecku bez toho, aby musela v týchto krajinách podnikať ďalšie kroky.

Tieto certifikácie sú sprevádzané spoločným referenčným rámcom s tromi úrovňami bezpečnosti: základná, podstatná a vysoká. Tieto tri úrovne odrážajú úroveň dôvery v IT riešenia alebo služby vrátane pripojených objektov – či už ide o spotrebné alebo viac technické produkty (napríklad pripojené zdravotnícke zariadenia).

Rozlišovanie medzi IT a bezpečnostnými riešeniami

Naproti tomu sa národné certifikácie – napríklad ANSSI vo Francúzsku – zameriavajú na úroveň dôvery u kyberbezpečnostných riešení, ako sú smart karty, digitálne certifikáty alebo iné bezpečnostné produkty. Pri rozlišovaní medzi IT a bezpečnostnými riešeniami sú nuansy zásadné. Vzhľadom k tomu, že sú európske certifikácie navrhnuté pre širšiu oblasť ako samotná kybernetická bezpečnosť, je ich úroveň požiadaviek nutne nižšia. To v súčasnosti stačí na vytvorenie niektorých rezervácií.

Vo Francúzsku, ktorá má čo do digitálnej bezpečnosti náskok, je hlavným problémom fakt, že najvyššia úroveň európskych certifikácií by zodpovedala najnižšej úrovni tých francúzskych. Také rozostrenie, ktoré by umožnilo uprednostňovať menej spoľahlivé riešenia pred ostatnými, by mohlo pre kybernetickú bezpečnosť predstavovať skutočné riziko. V záujme ochrany tak bude mať každá krajina Európskej únie možnosť udržiavať zvrchované národné úrovne súbežne s európskou certifikáciou.

Francúzsko najmä prostredníctvom ANSSI udržuje nad rámec certifikácie svoje vlastné kvalifikačné úrovne (základné, štandardné, rozšírené), ktoré sú vyžadované pre prevádzku v národných kritických infraštruktúrach. Stručne povedané, riešenie už certifikovaná ANSSI – ako sú riešenia spoločnosti Stormshield – by preto už zodpovedala úrovni certifikácie vyššie alebo rovné európskym požiadavkám.

Zatiaľ čo niektoré detaily týkajúce sa implementácie aktu o kybernetickej bezpečnosti je stále potrebné upresniť, toto nariadenie je pre európsku kybernetickú bezpečnosť dobrým znamením. Okrem krátkodobej harmonizácie pomôžu tieto právne predpisy utvárať bezpečnejšiu digitálnu budúcnosť.

Pracovná skupina pre európsky certifikačný systém

Na konci novembra 2019 mala spoločnosť Stormshield tú česť a výsadu zúčastniť sa pracovnej skupiny poverené definovaním prvého európskeho systému certifikácie kybernetickej bezpečnosti v nadväznosti na spomínaný akt.

Stormshield bol ako jediný európsky výrobca kyberbezpečnostných riešení vybraný do tejto pracovnej skupiny spolu s agentúrou ENISA a ďalšími partnermi, ako sú ANSSI, BSI a CCN.

Cieľom tejto prvej skupiny je navrhnúť spoločné hodnotiace kritériá. Ak sa chcete dozvedieť viac, pozrite sa na novinky na webe ENISA.

Autori: Stéphane Prevost, Matthieu Bonenfant, Stormshield
Preklad a úpravy: Jan Mazal, 
VPGC
Zdroj: Cybersecurity Act: an initial signal sent by Europe a At the centre of tomorrow’s European certifications