Το πρώτο πανευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας βρίσκεται προ των πυλών, με την Ευρωπαϊκή Επιτροπή να εγκρίνει το σχετικό νομοθετικό πλαίσιο.
Σύμφωνα με τον Σύνδεσμο Επιχειρήσεων Πληροφορικής & Επικοινωνιών Ελλάδας (ΣΕΠΕ), τη στιγμή που η πιστοποίηση διαδραματίζει καίριο ρόλο στην αύξηση της εμπιστοσύνης και της ασφάλειας σε σημαντικά προϊόντα και υπηρεσίες για τον ψηφιακό κόσμο, στην Ε.Ε. το τοπίο είναι κατακερματισμένο, καθώς υπάρχουν διάφορα συστήματα πιστοποίησης της ασφάλειας για τα προϊόντα ΤΠΕ.
Αυτό φιλοδοξεί να αλλάξει η Ε.Ε. με το νέο θεσμικό πλαίσιο, το οποίο θα εφαρμόζεται σε εθελοντική βάση πανευρωπαϊκά και θα επικεντρώνεται στην πιστοποίηση της κυβερνοασφάλειας των προϊόντων ΤΠΕ κατά τον κύκλο ζωής τους.
Το πανευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας περιλαμβάνει ένα σύνολο κανόνων και διαδικασιών σε επίπεδο Ένωσης για την πιστοποίηση των προϊόντων πληροφορικής κατά τη διάρκεια του κύκλου ζωής τους, καθιστώντας τα έτσι πιο αξιόπιστα για τους χρήστες. Με την πιστοποίηση θα αναγνωρίζεται επίσημα ότι τα πιστοποιημένα προϊόντα πληροφορικής είναι αξιόπιστα, με αποτέλεσμα να προστατεύεται τόσο το hardware, όσο και το λογισμικό που χρησιμοποιούν καθημερινά οι πολίτες.
Το εθελοντικό σύστημα θα συμπληρώσει τον κανονισμό για την κυβερνοανθεκτικότητα, ο οποίος θεσπίζει δεσμευτικές απαιτήσεις κυβερνοασφάλειας για όλα τα προϊόντα υλισμικού και λογισμικού στην Ε.Ε. Αυτό το σημαντικό βήμα συμβάλλει στην ενίσχυση της παγκόσμιας ηγετικής θέσης της Ευρώπης στον ψηφιακό τομέα.
Επιπλέον, το σύστημα, η σύσταση του οποίου θα δημοσιευθεί σύντομα στην Επίσημη Εφημερίδα της Ε.Ε. και θα τεθεί σε ισχύ 20 ημέρες μετά τη δημοσίευσή του, θα ενισχύσει την εφαρμογή της οδηγίας NIS2.
Σύστημα πιστοποίησης
Το πλαίσιο πιστοποίησης θα παρέχει συστήματα πιστοποίησης σε επίπεδο Ε.Ε. ως ολοκληρωμένο σύνολο κανόνων, τεχνικών απαιτήσεων, προτύπων και διαδικασιών. Το πλαίσιο θα βασίζεται σε συμφωνία σε επίπεδο Ε.Ε. σχετικά με την αξιολόγηση των ιδιοτήτων ασφαλείας ενός συγκεκριμένου προϊόντος ή υπηρεσίας, που βασίζεται στις ΤΠΕ. Βεβαιώνει ότι τα προϊόντα και οι υπηρεσίες ΤΠΕ που έχουν πιστοποιηθεί σύμφωνα με ένα τέτοιο σύστημα συμμορφώνονται με συγκεκριμένες απαιτήσεις.
Ειδικότερα, κάθε ευρωπαϊκό σύστημα θα πρέπει να προσδιορίζει:
-τις κατηγορίες προϊόντων και υπηρεσιών που καλύπτονται,
-τις απαιτήσεις κυβερνοασφάλειας, όπως πρότυπα ή τεχνικές προδιαγραφές,
-το είδος της αξιολόγησης, όπως αυτοαξιολόγηση ή τρίτο μέρος,
-το επιδιωκόμενο επίπεδο διασφάλισης.
Τα επίπεδα διασφάλισης χρησιμοποιούνται για την ενημέρωση των χρηστών σχετικά με τον κίνδυνο κυβερνοασφάλειας ενός προϊόντος και μπορεί να είναι βασικά, σημαντικά και/ή υψηλά. Είναι ανάλογα με το επίπεδο κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος, της υπηρεσίας ή της διαδικασίας, όσον αφορά την πιθανότητα και τον αντίκτυπο ενός ατυχήματος. Ένα υψηλό επίπεδο διασφάλισης θα σήμαινε ότι το πιστοποιημένο προϊόν πέρασε τις υψηλότερες δοκιμές ασφαλείας.
Το πιστοποιητικό, που προκύπτει, θα αναγνωρίζεται σε όλα τα κράτη-μέλη της Ε.Ε., καθιστώντας ευκολότερο για τις επιχειρήσεις να πραγματοποιούν διασυνοριακές συναλλαγές και για τους αγοραστές να κατανοούν τα χαρακτηριστικά ασφαλείας του προϊόντος ή της υπηρεσίας.