A União Europeia anunciou o primeiro esquema de certificação de cibersegurança como parte dos esforços para aumentar a segurança cibernética dos produtos e serviços de TI nos Estados-membros. Denominado Sistema Europeu de Cibersegurança baseado em Critérios Comuns (EUCC), o documento foi elaborado pela Agência da União Europeia para a Cibersegurança (Enisa) em coordenação com os 27 países que integram o bloco político e econômico.
O regime voluntário, que se enquadra no quadro de certificação da cibersegurança da UE, substituirá as atuais certificações nacionais de cibersegurança após um período de transição. O EUCC exigirá que os fornecedores de sistemas de tecnologia da informação e comunicações (TIC) passem por um processo de avaliação para demonstrar a garantia da segurança cibernética para produtos digitais, como componentes tecnológicos, hardware e software.
Segundo a UE, as normas foram concebidas para ajudar os fornecedores europeus de TIC a competir nos mercados nacionais, da União Europeia e globais, incentivando os fornecedores a melhorar a sua segurança.
O EUCC propõe dois níveis de garantia com base no nível de risco associado ao uso pretendido do produto, serviço ou processo. Este nível de risco é calculado em relação à probabilidade e ao impacto de um acidente.
Os seus requisitos baseiam-se no quadro de avaliação dos critérios comuns de avaliação da segurança da tecnologia da informação estabelecidos pelo acordo SOG-IS já adotado em 17 Estados-membros da União Europeia. Os fornecedores poderão converter seus SOG-IS existentes em certificados EUCC após avaliação de suas soluções em relação aos requisitos adicionados ou atualizados, conforme especificado no EUCC. A Enisa publicará certificados emitidos sob a égide do EUCC.
“A adoção do primeiro esquema de certificação de cibersegurança representa um marco rumo a um mercado único digital confiável da União Europeia e é uma peça do quebra-cabeça do quadro de certificação de cibersegurança do bloco que está atualmente em construção”, destacou Juhan Lepassaar, diretor executivo da Enisa.
O agência acrescentou que está atualmente trabalhando em dois outros esquemas de certificação de cibersegurança — para serviços em nuvem e segurança 5G. A Enisa realizou também um estudo de viabilidade sobre os requisitos de certificação da UE em matéria de cibersegurança no domínio da inteligência artificial (IA).
Veja isso
CSA lança certificado de competência em zero trust
(ISC)² terá exame de certificação em cyber para mais cinco idiomas
Demonstrar competência em segurança por meio de certificações tornou-se vital para os fornecedores de tecnologia em meio aos crescentes requisitos de conformidade e à crescente conscientização das partes interessadas sobre questões cibernéticas e de privacidade.
O anúncio da UE segue-se a uma série de atividades legislativas em matéria de segurança cibernética do órgão supranacional. Em dezembro do ano passado, o parlamento europeu chegou a um acordo sobre a Lei da Resiliência Cibernética (CRA), que visa introduzir requisitos de segurança para os fabricantes de dispositivos conectados na União Europeia.
Para ter acesso à íntegra do comunicado da Enisa, em inglês, sobre a criação da certificação da cibersegurança da EU clique aqui.