Hvordan vil EU's første cybersikkerhedscertificeringsordning påvirke din virksomhed?
Indholdsfortegnelse:
I den digitale verden er tillid hårdt vundet og let tabt. En del af årsagen til dette er manglen på en universelt forstået og troværdig sikkerheds-dragemærkeordning. Gå ind i EU's cybersikkerhedscertificeringsramme: et årelangt initiativ designet til at harmonisere tilliden til it-produkter, -tjenester og -processer inden for og uden for blokken.
EU's sikkerhedsagentur ENISA har netop annonceret den første sådanne ordning: The European Cybersecurity Scheme on Common Criteria (EUCC). Ifølge eksperter vil det supplere foreslåede EU-cybersikkerhedsregler og kunne hjælpe britiske virksomheder med både at markedsføre deres egne produkter og forbedre basissikkerheden i deres organisation.
Hvorfor har vi brug for EUCC?
Mangler i it-produkter er en vigtig årsag til cyberrisiko. De kan være fyldt med softwaresårbarheder eller have usikre hardwarekomponenter, kommunikationsprotokoller og out-of-the-box konfigurationer, som er svære at rette. Nogle producenter har muligvis ikke engang et dedikeret sårbarhedsstyringsprogram.
Alligevel har det indtil nu været udfordrende for it-købere at skelne de sikre produkter på markedet fra de også-rans og det direkte usikre kit. Eventuelle certificeringsordninger i drift blev kørt på nationalt grundlag, hvilket ikke er godt i en stadig mere global og sammenkoblet verden.
Hvad er EUCC?
Det er her, EUCC kommer ind i billedet. Forudsat af EU's 2019 Cybersecurity Act (CSA), er den designet til at indføre et "omfattende sæt regler, tekniske standarder, krav, standarder og procedurer, der skal anvendes på tværs af unionen," ifølge ENISA.
Den fortsætter:
"Den nye EUCC-ordning er frivillig baseret og giver IKT-leverandører, der ønsker at fremvise sikringsbevis, mulighed for at gennemgå en EU almindeligt forstået vurderingsproces for at certificere IKT-produkter såsom teknologiske komponenter (chips, smartcards), hardware og software. Ordningen er baseret på det tidsbeviste SOG-IS Fælles Kriterier evalueringsramme, der allerede er brugt i 17 EU-medlemslande. Den foreslår to niveauer af sikkerhed baseret på det risikoniveau, der er forbundet med den tilsigtede brug af produktet, tjenesten eller processen, hvad angår sandsynligheden for og virkningen af en ulykke."
Ifølge CyberSmart cybersikkerhedskonsulent, Adam Pilton, er der to sikkerhedsniveauer: "Substantial" og "High".
"Det væsentlige niveau sikrer, at IKT-produkterne, -tjenesterne og -processerne opfylder de fastsatte funktionaliteter og er på et niveau, der er beregnet til at minimere kendte cybersikkerhedsrisici udført af aktører med begrænsede kompetencer og ressourcer," siger han til ISMS.online.
"Den høje sikkerhed sikrer, at IKT-produkter, -tjenester og -processer opfylder de fastsatte funktionaliteter og er på et niveau, der er beregnet til at minimere avancerede cyberangreb udført af aktører med betydelige kompetencer og ressourcer."
Certificering kan vare i op til fem år eller mere i nogle tilfælde. Men hvis et element af det pågældende aktiv ændres i løbet af en certificerings levetid, vil der være behov for handling for at opdatere sikkerhedsniveauerne. Hvis det ikke gennemføres tilfredsstillende, kan det føre til suspension eller tilbagetrækning af certificeringen, forklarer Pilton.
Hvordan EUCC kunne gavne britiske virksomheder
Der er to hovedfordele ved EUCC. Det vil forhåbentlig:
Tilskynd IKT-leverandører/-producenter til at øge sikkerheden for deres produkter, tjenester og processer ved at opmuntre dem til at overholde EUCC-kravene
Giv organisationer, der køber it-produkter og -tjenester, en nyttig måde for at sikre, at deres indkøb er tilpasset deres risikovillighed
En certificeringsordning er afgørende "for at udvikle, lancere og effektivt administrere sikre enheder og tjenester", ifølge Gil Bernabeu, CTO for teknisk standardiseringsorganisation, GlobalPlatform.
"SOG-IS har muliggjort dette i Europa i det sidste årti. Og EUCC bygger videre på den tilgang og udvider rækkevidden og anerkendelsen på tværs af de 27 medlemslande for at gøre det muligt for leverandører at certificere og sælge produkter på tværs af Europa under EU CSA,” siger han til ISMS.online.
"Nøglen til dens succes vil være at sikre, at sikkerhedsniveauer er konsistente på tværs af alle regioner og markeder på en måde, der er gennemsigtig, tilpasset industrien og tilgængelig for slutbrugeren. At spare tid, penge og kræfter og samtidig forbedre cybersikkerheden i Europa kan kun være en god ting."
Selvom ordningen er EU-baseret, kan enhver virksomhed opnå certificering. Det betyder, at britiske it-leverandører kan bruge certificering til at forbedre deres løsningers omsættelighed blandt en EU-kundebase. Det vil også gavne it-købere i Storbritannien, da de forsøger at skelne mellem leverandører inden for blokken.
Ordningens indflydelse kan ifølge Pilton strække sig endnu længere ud i tiden.
"Lande rundt om i verden var involveret i høringen af denne ordning, herunder Storbritannien, USA, Australien og Kina. Og 82 % af deltagerne i høringen tilkendegav, at de havde til hensigt at bruge EUCC-ordningen,” siger han.
"At have en EU-dækkende certificering vil skabe et mere pålideligt og sikkert Europa. Og med andre lande, der angiver deres hensigt om at vedtage denne ordning, vil dette utvivlsomt have en global indvirkning på at sikre, at vi har adgang til pålidelige produkter, processer og tjenester."
Bare starten
Selvom den er frivillig, kan ordningen have en betydelig indvirkning, ligesom Storbritanniens Cyber Essentials, siger Pilton.
"EUCC er en ordning, der kan forene et kontinent, også et globalt indflydelsesrigt kontinent. Det vil naturligvis direkte forbedre cybersikkerheden for de deltagende, men vil også øge bevidstheden, fremme cyberhygiejne og bedste praksis for alle virksomheder,” hævder han.
"Over tid vil dette opbygge tillid og tilskynde til ansvarlig udvikling og implementering af sikre produkter. Femogtyve procent af dem, der deltog i EUCC-høringen, erklærede, at de havde til hensigt at få deres produkter certificeret mod det."
EUCC vil også supplere anden lovgivning og direktiver inden for udvikling på f.eks. EU-niveau hjælper med at overholde NIS2 for organisationer, der skal bevise, at enheder i deres forsyningskæder opfylder foreskrevne standarder, siger Pilton.
Det mener også Jesus Fernandez, som var medlem af ENISA-arbejdsgruppen om EUCC.
”Den frivillige ordning vil supplere Lov om cyberresiliens der indfører bindende cybersikkerhedskrav for alle hardware- og softwareprodukter i EU. EUCC-ordningen vil også sætte skub i implementeringen af NIS2-direktivet." argumenterer han.
"Så på dette tidspunkt er det klogt at forvente fremtidige vertikale/sektorielle reguleringer, der kan pålægge obligatoriske EUCC-certificeringer, der er specifikke for bestemte typer it-produkter, når de bruges i specifikke sektorer."
Det er også værd at huske på, at EUCC er den første af tre cybersikkerhedscertificeringsordninger, hvor to andre dækker cloud-tjenester og 5G-netværk, der stadig er ved at blive færdiggjort. Sammen kunne de gøre meget for at forbedre basissikkerheden på tværs af regionen og udenfor.
