EU har utvecklat en omfattande cybersäkerhetsstrategi för att stärka säkerheten i hela unionen. Denna strategi inkluderar riktlinjer och policyer för att hantera cyberhot och förbättra samarbete mellan medlemsländerna. EU uppmuntrar samarbete mellan medlemsländerna genom initiativ som European Union Agency for Cybersecurity (ENISA). ENISA arbetar för att förbättra EU:s förmåga att förebygga och bemöta cyberhot genom att dela information och bästa praxis mellan länder.
Ackreditering spelar en viktig roll inom EU:s arbete med att säkerställa en hög nivå av cybersäkerhet i it-produkter, it-tjänster och it-processer och att de uppfyller specificerade standarder och andra krav. Genom EU:s cybersäkerhetsakt som antogs 2019 finns nu ett europeisk ramverk för certifiering av cybersäkerhet i it-produkter, -tjänster och -processer. Ackreditering är en central del av denna ram, eftersom den säkerställer att certifieringsorganen har den kompetens som krävs för att utföra tillförlitliga och standardiserade certifieringar.
EUCC, eller European Common Criteria-based cybersecurity certification scheme , är den första certifieringsordningen som antas inom ramen för EU:s ramverk för certifiering enligt cybersäkerhetsakten. Under akten arbetar EU nu även med att utveckla ytterligare certifieringsordningar för olika typer av produkter och tjänster, bland annat en ordning för molntjänster. Ett arbete som pågår och förväntas utöka antalet ackrediteringsmöjligheter inom cybersäkerhetsområdet. Vi kommer att uppdatera denna sida i takt med att nya ackrediteringsområden blir aktuella.
EUCC
EUCC är en certifieringsordning inom cybersäkerhet som är en del av EU:s ramverk för cybersäkerhetscertifiering. Syftet med denna certifiering är att höja säkerhetsnivån på produkter, tjänster och processer inom informations- och kommunikationsteknik (IKT) inom EU. Genom att harmonisera cybersäkerhetsstandarder inom EU bidrar EUCC-certifieringen till att förbättra det gemensamma skyddet mot cyberhot och säkerställa att den digitala marknaden fungerar smidigt och säkert.
EUCC pekar på två kontrollformer, certifieringsorgan för produkter och provningslaboratorier. Produktcertifikat kan utfärdas på assuransnivåerna betydande och hög. Där nivå betydande motsvarar Common Criterias AVA_VAN-nivåer 1 eller 2 och nivå hög AVA_VAN-nivå 3,4 eller 5. Certifieringsorgan och provningslaboratorier (ITSEF) som ackrediteras kommer att behöva styrka sin kompetens för den högsta nivån man avser att erbjuda ackrediterade tjänster. Vidare krävs det enligt EUCC också ett bemyndigande från nationella myndigheten för cybersäkerhetscertifiering (FMV) för att utfärda certifikat på nivå hög.
Swedac som Sveriges ackrediteringsorgan ackrediterar både certifieringsorgan och provningslaboratorier (ITSEF) inom ramen för EUCC. I Sverige är det Förvsarets materielverk som är den nationella myndigheten för cybersäkerhetscertifieringA). FMV ansvarar för att övervaka och koordinera certifieringsverksamheten på nationell nivå och samverkan med EU-organ såsom, ENISA, europeiska kommissionen och är nationell representant i Europeiska gruppen för cybersäkerhetscertifiering (ECCG). FMV ansvarar även för att notifiera EU om de organ som ackrediterats samt de som även har bemyndigats enligt cybersäkerhetsakten.