EU Cyber Security Act—vad innebär det och vilka regler gäller?

02 februari 2023, 11:17

ENISA, EU:s cybersäkerhetsorgan har fått ett utökat mandat för ansvarighet för cybersäkerheten inom EU. Syftet är att bidra till en enhetlig nivå och standard på cybersäkerheten inom hela EU och skapa ett europeiskt säkerhetsramverk för certifiering av produkter, tjänster och processer inom informations och kommunikationsteknik (IKT), kallat Cyber Security Act. RISE erbjuder redan idag ackrediterad certifiering för produkter, tjänster och processer inom flera olika områden. RISE tittar nu också på möjligheten att i framtiden även kunna erbjuda certifiering baserad på en eller flera av EU:s nya certifieringsordningar.

Certifiering spelar en viktig roll för att skapa tillit och säkerhet för produkter och tjänster I den digitala världen. Idag finns ett antal olika säkerhetscertifieringar inom EU för digitala tjänster och produkter, men utan ett gemensamt regelverk inom EU riskerar handelshinder att skapas mellan EU:s olika medlemsländer.

ENISA kommer därför att utveckla olika cybersäkerhetsordningar (cyber security schemes) som kommer att innehålla tekniska krav, standarder och metoder som ska gälla för certifiering av produkter, tjänster och processer inom informations och kommunikationsteknik (IKT), inom EU.

Certifieringsorgan kommer kunna erbjuda certifieringar som bekräftar att specifika produkter, tjänster och processer inom informations och kommunikationsteknik (IKT) uppfyller kraven i enlighet med dessa cybersäkerhetsordningar.

I dagsläget är tre områden av cybersäkerhetsordningar under utveckling av ENISA. Dessa är:

Common criteria som täcker produkter inom informations och kommunikationsteknik (IKT)
Molntjänster
5G nätverk

Varje europeiskt cybersäkerhetsordning ska särskilt specificera:

Den kategori eller tjänst som omfattas
Cybersäkerhetskrav såsom standarder eller tekniska krav
Utvärderingsmetoder såsom egengodkännande eller tredje part
Aktuella säkerhetsnivåer

Det finns tre säkerhetsnivåer som är till för att användarna ska veta vilken säkerhetsnivå en produkt, tjänst eller process kan ha. Det tre nivåerna är grundläggande, betydande, samt hög.

Dessa säkerhetsnivåer baseras på den risknivå som kopplas samman med avsedd användning av en produkt, tjänst eller process, i fråga om trolighet för och inverkan av en attack. Nivå hög motsvarar att produkten, tjänsten eller processen klarar de högsta säkerhetstesterna.

Certifieringen kommer göra det enklare för företag att erbjuda affärer över landsgränser, likväl underlätta för kunder att kunna bedöma hur säker en produkt, tjänst eller process som de avser köpa är.

Cybersäkerhetscertifiering som det ser ut idag kommer delvis att vara frivillig, beroende på säkerhetsnivå, vilket innebär att tillverkare och leverantörer själva kommer kunna välja att certifiera sina produkter, tjänster och processer. Ansökan för att erhålla ett certifikat behöver då göras till ett ackrediterat certifieringsorgan.

RISE erbjuder redan idag ackrediterad certifiering för produkter, tjänster och processer inom flera olika områden. RISE tittar nu också på möjligheten att i framtiden även kunna erbjuda certifiering baserad på en eller flera av EU:s nya certifieringsordningar.

De nationella cybersäkerhetsregler som tillämpas inom somliga länder redan idag förväntas överges till förmån för EU:s certifikat efter en övergångsperiod.