Certyfikacja w cyberbezpieczeństwie - nowe podejście UE

Transkrypt

1 Krzysztof Silicki p.o. Dyrektora NASK PIB Wiceprzewodniczący Rady Zarządzającej ENISA Warsaw Certyfikacja w cyberbezpieczeństwie - nowe podejście UE Think Warsaw / September 18, 2018 / 2018 IBM Corporation

2 Cyberbezpieczeństwo a regulacje - przeszłość i teraźniejszość Dyrektywa NIS Pakiet telekomunik acyjny UE Prawo telekomunikacyjne Ustawa o Krajowym Systemie Cyberbezpieczeństwa GDPR e- IDAS PSD2 Ustawa o usługach płatniczych RODO Ustawa o usługach zaufania i identyfikacji elektronicznej

3 Cybersecurity Package teraźniejszość i przyszłość

4 Proponowane rozporządzenie Komisji Europejskiej i Parlamentu Europejskiego (tzw. Cybersecurity Act ) Sześć kluczowych celów: 1 Zwiększenie zdolności i gotowości na poziomie UE i państw członkowskich 2 Poprawa współpracy i koordynacji zainteresowanych stron 3 Zwiększenie zdolności na poziomie UE w celu uzupełnienia działań państw członkowskich 4 Promowanie świadomości bezpieczeństwa cybernetycznego w UE 5 Zwiększenie przejrzystości zapewniania bezpieczeństwa cybernetycznego 6 Unikanie rozdrobnienia systemów certyfikacji

5 EU Cybersecurity Certification The Commission proposes a European Cybersecurity Certification framework (Article 8 and Title III) with ENISA involvement in steps 2 and 3 of the process displayed below: Commission requests ENISA ENISA drafts scheme involving all stakeholders and ECCG Commission adopts scheme by means of implementing acts MS or ECCG propose to Commission the drafting of a scheme The Cybersecurity Package and the new ENISA mandate

6 Kluczowe aspekty proponowanych ram Kluczowe aspekty proponowanych unijnych ram certyfikacji bezpieczeństwa cybernetycznego obejmują: Adresuje rozdrobnienie rynku Przedstawia podejście dobrowolne i oparte na ocenie ryzyka Określone poziomy gwarancji (podstawowe, istotne, wysokie) Role dla państw członkowskich: Zaproponowanie Komisji przygotowania programu kandydackiego Zaangażowanie poprzez Europejską Grupę Certyfikacji Cyberbezpieczeństwa (złożoną z krajowych organów nadzoru certyfikacyjnego) Zaangażowanie w procedurę przyjmowania aktów wykonawczych Jasny podział zadań zgodnie z rozporządzeniem (EU) 765/2008 The Cybersecurity Package and the new ENISA mandate

7 Zaprezentowanie zgodności

8 Background Certification entails the provision of assessment and impartial thirdparty attestation that fulfilment of specified requirements has been demonstrated (*) Security certification of products has been traditionally dominated by common criteria Within EU (*) ISO/IEC 17067:2013 SOG-IS MRA is the dominant player in common criteria certification Multiple national and sectorial initiatives focused on security certification The emerging EU Cybersecurity Certification Framework

9 ICT security certification in the EU Network and Information Security Directive EU Cybersecurity Strategy General Data Protection Regulation eidas Regulation Payment Services Directive 2 The emerging EU Cybersecurity Certification Framework Digital Single Market Strategy Strengthening Europe s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry Proposal for a Regulation on Privacy and Electronic Communications

10 Możliwe cechy unijnych ram certyfikacji ICT Security Certification Producers Member States Unikanie rozdrobnienia rynku spowodowanego krajowymi inicjatywami w zakresie certyfikacji bezpieczeństwa ICT Promowanie wzajemnego uznawania ICT Security Certification Consumers Uproszczenie procedur, skrócenie czasu i obniżenie kosztów wdrażania produktów i usług IT Poprawa konkurencyjności i jakości europejskich produktów i usług Zwiększenie zaufania użytkowników do nabywanych produktów i usług ICT, ECIL Group Industry The emerging EU Cybersecurity Certification Framework

11 Badania agencji ENISA ENISA cybersecurity certification survey findings 57% is aware of multiple existing ICT security certification schemes Main problems encountered: costs, duration, transparency & support 90% agreed that mutual recognition is desirable at European level 66% agreed for the need of self-declaration schemes Need for certification and labelling at the IoT (75%) and ICS (66%) domains 81% of the respondents agreed also that certification and labelling can be effective tools to increase transparency and enhance trust 66% highlighted the need for greater efforts for promoting ICT security certification in specific sectors 78% envisage a role for existing EU Commission's bodies and agencies (e.g. JRC, ENISA, ACER) in a future EU wide approach The emerging EU Cybersecurity Certification Framework 7

12 Przykłady certyfikacji w krajach UE Certification landscape in TOTAL Germany Spain France Italy thnetherlands Sweden UK by European CABs The emerging EU Cybersecurity Certification Framework 8

13 Proces powstawania schematu certyfikacji cyberbezpieczeństwa produktu, usługi, procesu Putting certification schemes forward ENISA Consults Industry, Standardization bodies Interested stakeholders European Commission Requests ENISA to prepare a candidate scheme European Cybersecurity Certification Group Requests ENISA to prepare a candidate scheme ENISA Prepares candidate scheme ENISA Transmits candidate scheme to the European Commission European Commission Adopts candidate scheme A European Cybersecurity Certification Scheme European Cybersecurity Certification Group Advices ENISA The emerging EU Cybersecurity Certification Framework 11

14 Implementacja w krajach UE

15 Kluczowe elementy proponowanych ram Zakres programu obejmujący: rodzaj i kategorie procesów, produkty i usługi nim objęte Odniesienie do standardów stosowanych w procesie oceny Jeden lub więcej poziomów zaufania Szczególne wymogi bezpieczeństwa cybernetycznego dla jednostek certyfikujących (CAB), stosownie do przypadku Szczegółowe kryteria oceny i zastosowane metody Informacje, które mają być przekazane jednostkom certyfikującym (CAB) przez wnioskodawcę Warunki stosowania znaków i etykiet Warunki przyznania utrzymania i przedłużenia certyfikatu Zasady monitorowania zgodności certyfikatów lub deklaracji zgodności UE Zasady zgłaszania podatności Prowadzenie dokumentacji w instytucjach oceny zgodności (CAB) Identyfikacja krajowych /międzynarodowych systemów w tym samym obszarze Treść wydanego certyfikatu lub deklaracji zgodności UE Okres ważności Polityka ujawniania informacji Wzajemne uznawanie The emerging EU Cybersecurity Certification Framework

16 Normalizacja wspierająca certyfikację Standardy zapewniają wspólne zasady, na których można się oprzeć przy certyfikacji bezpieczeństwa cybernetycznego Definicje - przedmioty standardów Kategoria produktów, usług, procesów Potrzeby w zakresie zastosowań Wymagania Szczególne funkcje bezpieczeństwa Ocena Metodologia i proces Akredytacja jednostek certyfikujących (CAB) The emerging EU Cybersecurity Certification Framework

17 Rola agencji ENISA ENISA certification activities at large Supporting policy discussions, engagement and dialogue with stakeholders Establishing working relations with industry working groups Stocktaking on the development of a European ICT security certification and labelling framework Analysing the ICT security certification laboratories landscape in the EU Seeking to engage towards the EU framework based on existing schemes and responding to emerging lightweight requirements The emerging EU Cybersecurity Certification Framework 16

18 Thank you, dziękuję! Krzysztof Silicki p.o. Dyrektora NASK PIB Wiceprzewodniczący Rady Zarządzającej ENISA Think Warsaw / September 18, 2018 / 2018 IBM Corporation 18