Hvordan vil EUs første sertifiseringsordning for cybersikkerhet påvirke virksomheten din?
Innholdsfortegnelse:
I den digitale verden er tillit hardt vunnet og lett tapt. Noe av grunnen til dette er mangelen på et universelt forstått og troverdig sikkerhets kitemark-opplegg. Gå inn i EUs rammeverk for cybersikkerhetssertifisering: et årelangt initiativ designet for å harmonisere tillit til IT-produkter, tjenester og prosesser innenfor og utenfor blokken.
EUs sikkerhetsbyrå ENISA har nettopp annonsert den første slike ordningen: The European Cybersecurity Scheme on Common Criteria (EUCC). Ifølge eksperter vil det utfylle foreslåtte EU-regler for nettsikkerhet og kunne hjelpe britiske bedrifter både å markedsføre sine egne produkter og forbedre grunnsikkerheten i organisasjonen deres.
Hvorfor trenger vi EUCC?
Mangler i IT-produkter er en sentral årsak til cyberrisiko. De kan være fulle av programvaresårbarheter, eller ha usikre maskinvarekomponenter, kommunikasjonsprotokoller og ferdige konfigurasjoner som er vanskelige å fikse. Noen produsenter har kanskje ikke engang et dedikert program for sårbarhet.
Frem til nå har det likevel vært utfordrende for IT-kjøpere å skille de sikre produktene på markedet fra de som også finnes, og det direkte usikre settet. Eventuelle sertifiseringsordninger i drift ble drevet på nasjonal basis, noe som ikke er bra i en stadig mer global og sammenkoblet verden.
Hva er EUCC?
Det er her EUCC kommer inn. Forutsatt av EUs 2019 Cybersecurity Act (CSA), er den utformet for å introdusere et "omfattende sett med regler, av tekniske standardkrav, standarder og prosedyrer som skal brukes i hele unionen," i henhold til ENISA.
Det fortsetter:
"Den nye EUCC-ordningen er frivillig basert og lar IKT-leverandører som ønsker å vise frem bevis på sikkerhet, gå gjennom en EU-alminnelig forstått vurderingsprosess for å sertifisere IKT-produkter som teknologiske komponenter (brikker, smartkort), maskinvare og programvare. Ordningen er basert på det tidspåviste SOG-IS Common Criteria evalueringsrammeverket allerede brukt i 17 EU-medlemsland. Den foreslår to nivåer av sikkerhet basert på risikonivået knyttet til den tiltenkte bruken av produktet, tjenesten eller prosessen, når det gjelder sannsynlighet og konsekvens av en ulykke."
I følge CyberSmart cybersikkerhetskonsulent, Adam Pilton, er det to sikkerhetsnivåer: "Substantial" og "High".
"Det betydelige nivået sikrer at IKT-produktene, -tjenestene og -prosessene oppfyller de fastsatte funksjonalitetene og er på et nivå som er ment å minimere kjente cybersikkerhetsrisikoer utført av aktører med begrensede ferdigheter og ressurser," sier han til ISMS.online.
"Den høye sikkerheten sikrer at IKT-produkter, tjenester og prosesser oppfyller de fastsatte funksjonalitetene og er på et nivå som er ment å minimere toppmoderne cyberangrep utført av aktører med betydelig kompetanse og ressurser."
Sertifisering kan vare i opptil fem år eller mer i noen tilfeller. Men hvis i løpet av en sertifiserings levetid et element i den aktuelle eiendelen endres, vil det være nødvendig med handling for å oppdatere sikkerhetsnivåene. Hvis det ikke gjennomføres tilfredsstillende, kan det føre til suspensjon eller tilbaketrekking av sertifiseringen, forklarer Pilton.
Hvordan EUCC kan være til fordel for britiske firmaer
Det er to hovedfordeler med EUCC. Det vil forhåpentligvis:
Oppmuntre IKT-leverandører/-produsenter til å øke sikkerheten til deres produkter, tjenester og prosesser, ved å oppmuntre dem til å overholde EUCC-kravene
Tilby en nyttig måte for organisasjoner som kjøper IT-produkter og -tjenester for å sikre at kjøpene deres er tilpasset risikoviljen deres
En sertifiseringsordning er avgjørende "for å utvikle, lansere og effektivt administrere sikre enheter og tjenester", ifølge Gil Bernabeu, CTO for teknisk standardiseringsorganisasjon, GlobalPlatform.
«SOG-IS har muliggjort dette i Europa det siste tiåret. Og EUCC bygger på den tilnærmingen, og utvider rekkevidden og anerkjennelsen på tvers av de 27 medlemslandene for å gjøre det mulig for leverandører å sertifisere og selge produkter over hele Europa under EUs CSA, sier han til ISMS.online.
"Nøkkelen til suksessen vil være å sikre at sikkerhetsnivåene er konsistente på tvers av alle regioner og markeder på en måte som er transparent, på linje med industrien og tilgjengelig for sluttbrukeren. Å spare tid, penger og krefter samtidig som cybersikkerheten i Europa forbedres kan bare være en god ting.»
Selv om ordningen er EU-basert, kan enhver virksomhet oppnå sertifisering. Det betyr at britiske IT-leverandører kan bruke sertifisering for å forbedre salgbarheten til løsningene deres blant en EU-kundebase. Det vil også komme IT-kjøpere i Storbritannia til gode når de prøver å skille mellom leverandører innenfor blokken.
Ordningens innflytelse kan strekke seg enda lenger unna i tid, ifølge Pilton.
"Land rundt om i verden var involvert i konsultasjonen av denne ordningen, inkludert Storbritannia, USA, Australia og Kina. Og 82 % av deltakerne som var involvert i konsultasjonen indikerte at de hadde til hensikt å bruke EUCC-ordningen, sier han.
«Å ha en EU-omfattende sertifisering vil skape et mer pålitelig og sikkert Europa. Og med andre land som indikerer at de har til hensikt å vedta denne ordningen, vil dette utvilsomt ha en global innvirkning for å sikre at vi har tilgang til pålitelige produkter, prosesser og tjenester.»
Bare starten
Selv om ordningen er frivillig, kan den ha en betydelig innvirkning, akkurat som Storbritannias Cyber Essentials, sier Pilton.
«EUCC er en ordning som kan forene et kontinent, også et globalt innflytelsesrikt kontinent. Det vil selvfølgelig direkte forbedre cybersikkerheten til de som deltar, men vil også øke bevisstheten, fremme cyberhygiene og beste praksis for alle virksomheter, hevder han.
"Over tid vil dette bygge tillit, oppmuntre til ansvarlig utvikling og distribusjon av sikre produkter. 25 prosent av de som deltok på EUCC-konsultasjonen sa at de hadde til hensikt å få produktene deres sertifisert mot det.»
EUCC vil også utfylle annen lovgivning og direktiver innen utvikling på for eksempel EU-nivå hjelper NIS2-samsvar for organisasjoner som trenger å bevise at enheter i deres forsyningskjeder oppfyller foreskrevne standarder, sier Pilton.
Det mener også Jesus Fernandez, som var medlem av ENISAs arbeidsgruppe for EUCC.
«Den frivillige ordningen vil utfylle Lov om cyberresiliens som introduserer bindende cybersikkerhetskrav for alle maskinvare- og programvareprodukter i EU. EUCC-ordningen vil også øke implementeringen av NIS2-direktivet." hevder han.
"Så på dette tidspunktet er det klokt å forvente fremtidige vertikale/sektorielle reguleringer som kan pålegge obligatoriske EUCC-sertifiseringer spesifikke for bestemte typer IT-produkter når de brukes i spesifikke sektorer."
Det er også verdt å huske at EUCC er den første av tre sertifiseringsordninger for nettsikkerhet, med to andre som dekker skytjenester og 5G-nettverk som fortsatt er ferdigstilt. Sammen kan de gjøre mye for å forbedre grunnleggende sikkerhet i hele regionen og utover.
