Hur kommer EU:s första cybersäkerhetscertifieringssystem att påverka ditt företag?
Innehållsförteckning:
I den digitala världen är förtroende svårt vunnet och lätt förlorat. En del av anledningen till detta är avsaknaden av ett allmänt förståeligt och trovärdigt säkerhetssystem för kitemark. Gå in i EU:s ramverk för cybersäkerhetscertifiering: ett år långt initiativ utformat för att harmonisera förtroendet för IT-produkter, tjänster och processer inom och utanför blocket.
EU:s säkerhetsbyrå ENISA har precis tillkännagivit det första sådana systemet: European Cybersecurity Scheme on Common Criteria (EUCC). Enligt experter kommer det att komplettera föreslagna EU-regler för cybersäkerhet och kan hjälpa brittiska företag att både marknadsföra sina egna produkter och förbättra grundsäkerheten i sin organisation.
Varför behöver vi EUCC?
Brister i IT-produkter är en viktig orsak till cyberrisk. De kan vara fulla av sårbarheter i mjukvaran, eller ha osäkra hårdvarukomponenter, kommunikationsprotokoll och färdiga konfigurationer som är svåra att fixa. Vissa tillverkare kanske inte ens har ett dedikerat program för sårbarhetshantering.
Ändå har det hittills varit utmanande för IT-köpare att urskilja de säkra produkterna på marknaden från de som också finns, och det rent ut sagt osäkra kitet. Alla certifieringssystem som var i drift drevs på nationell basis, vilket inte är bra i en alltmer global och sammankopplad värld.
Vad är EUCC?
Det är här EUCC kommer in. Enligt EU:s 2019 Cybersecurity Act (CSA) är den utformad för att införa en "omfattande uppsättning regler, av tekniska standardkrav, standarder och förfaranden som ska tillämpas i hela unionen", enligt Enisa.
Det fortsätter:
"Det nya EUCC-systemet är frivilligt och tillåter IKT-leverantörer som vill visa upp bevis på säkerhet att gå igenom en allmänt uppfattad bedömningsprocess för att certifiera IKT-produkter såsom tekniska komponenter (chips, smartkort), hårdvara och mjukvara. Upplägget är baserat på den beprövade tiden SOG-IS Common Criteria utvärderingsram som redan används i 17 EU-medlemsstater. Den föreslår två säkerhetsnivåer baserade på risknivån förknippad med den avsedda användningen av produkten, tjänsten eller processen, vad gäller sannolikhet och konsekvenser av en olycka."
Enligt CyberSmart cybersäkerhetskonsult, Adam Pilton, finns det två säkerhetsnivåer: "Substantial" och "High".
"Den betydande nivån säkerställer att IKT-produkterna, -tjänsterna och -processerna uppfyller de föreskrivna funktionaliteterna och är på en nivå som är avsedd att minimera kända cybersäkerhetsrisker som utförs av aktörer med begränsad kompetens och resurser", säger han till ISMS.online.
"Den höga säkerheten säkerställer att IKT-produkter, tjänster och processer uppfyller de föreskrivna funktionaliteterna och är på en nivå som är avsedd att minimera toppmoderna cyberattacker utförda av aktörer med betydande kompetens och resurser."
Certifieringen kan pågå i upp till fem år eller mer i vissa fall. Men om någon del av tillgången i fråga ändras under certifieringens livstid, skulle det krävas åtgärder för att uppdatera säkerhetsnivåerna. Om det inte genomförs på ett tillfredsställande sätt kan det leda till avstängning eller indragning av certifieringen, förklarar Pilton.
Hur EUCC kan gynna brittiska företag
Det finns två huvudsakliga fördelar med EUCC. Det kommer förhoppningsvis:
Uppmuntra IKT-leverantörer/tillverkare att förbättra säkerheten för deras produkter, tjänster och processer genom att uppmuntra dem att följa EUCC:s krav
Tillhandahålla ett användbart sätt för organisationer som köper IT-produkter och tjänster för att säkerställa att deras inköp är anpassade till deras riskaptit
Ett certifieringssystem är viktigt "för att utveckla, lansera och effektivt hantera säkra enheter och tjänster", enligt Gil Bernabeu, CTO för teknisk standardiseringsorganisation, GlobalPlatform.
"SOG-IS har möjliggjort detta i Europa under det senaste decenniet. Och EUCC bygger på det tillvägagångssättet och utökar räckvidden och erkännandet över de 27 medlemsländerna för att göra det möjligt för leverantörer att certifiera och sälja produkter över hela Europa under EU:s CSA, säger han till ISMS.online.
"Nyckeln till dess framgång kommer att vara att säkerställa att säkerhetsnivåerna är konsekventa över alla regioner och marknader på ett sätt som är transparent, anpassat till branschen och tillgängligt för slutanvändaren. Att spara tid, pengar och ansträngning samtidigt som cybersäkerheten i Europa förbättras kan bara vara en bra sak.”
Även om systemet är EU-baserat kan alla företag erhålla certifiering. Det betyder att brittiska IT-leverantörer kan använda certifiering för att förbättra säljbarheten av sina lösningar bland en EU-kundbas. Det kommer också att gynna IT-köpare i Storbritannien när de försöker skilja mellan leverantörer inom blocket.
Systemets inflytande kan sträcka sig ännu längre bort i tiden, enligt Pilton.
"Länder runt om i världen var inblandade i samrådet om detta system, inklusive Storbritannien, USA, Australien och Kina. Och 82 % av deltagarna i samrådet angav sin avsikt att använda EUCC-systemet”, säger han.
"Att ha en EU-omfattande certifiering kommer att skapa ett mer pålitligt och säkert Europa. Och med andra länder som anger sin avsikt att anta detta system, kommer detta utan tvekan att ha en global inverkan för att säkerställa att vi har tillgång till pålitliga produkter, processer och tjänster."
Bara Starten
Även om det är frivilligt kan systemet ha en betydande inverkan, precis som Storbritanniens Cyber Essentials, säger Pilton.
"EUCC är ett system som kan förena en kontinent, en globalt inflytelserik kontinent också. Det kommer naturligtvis direkt att förbättra cybersäkerheten för de som deltar men kommer också att öka medvetenheten, främja cyberhygien och bästa praxis för alla företag”, hävdar han.
"Med tiden kommer detta att bygga förtroende, uppmuntra ansvarsfull utveckling och distribution av säkra produkter. Tjugofem procent av dem som deltog i EUCC-samrådet uppgav att de hade för avsikt att få sina produkter certifierade mot det.”
EUCC kommer även att komplettera annan lagstiftning och direktiv inom utveckling på exempelvis EU-nivå hjälper NIS2 efterlevnad för organisationer som behöver bevisa att enheter i deras leveranskedjor uppfyller föreskrivna standarder, säger Pilton.
Det menar också Jesus Fernandez, som var medlem i ENISA:s arbetsgrupp för EUCC.
"Det frivilliga systemet kommer att komplettera Cyberresilience Act som inför bindande cybersäkerhetskrav för alla hård- och mjukvaruprodukter i EU. EUCC-systemet kommer också att öka implementeringen av NIS2-direktivet.” han argumenterar.
"Så, vid det här laget är det klokt att förvänta sig framtida vertikala/sektoriella regleringar som kan införa obligatoriska EUCC-certifieringar som är specifika för särskilda typer av IT-produkter när de används i specifika sektorer."
Det är också värt att komma ihåg att EUCC är det första av tre cybersäkerhetscertifieringssystem, med två andra som täcker molntjänster och 5G-nätverk som fortfarande håller på att färdigställas. Tillsammans skulle de kunna göra mycket för att förbättra grundsäkerheten i hela regionen och utanför.
