Kyberturvallisuuden sertifiointijärjestelmät

EUCC on tieto- ja viestintätekniikan tuotteita koskeva sertifiointijärjestelmä, joka perustuu tietoteknologian turvallisuuden arviointia koskeviin yhteisiin kriteereihin (Common Criteria for Information Technology Security Evaluation, CC) ja tietotekniikan turvallisuuden yhteisiin arviointimenetelmiin (Common Methodology for Information Technology Security Evaluation, CEM), jotka ovat julkaistu esimerkiksi standardeina ISO/IEC 15408 ja ISO/IEC 18405.

EUCC sallii tuotteiden sertifioinnit varmuustasoilla 'korotettu' ja 'korkea'. Nämä edellyttävät aina kolmannen osapuolen suorittamaa arviointia. Tässä tapauksessa testauslaboratorio suorittaa tuotteen testauksen ja jos kaikki sertifikaatin vaatimukset täyttyvät, sertifiointiorganisaatio myöntää EUCC:n mukaisen kyberturvallisuussertifikaatin.

Tuotteen sertifiointi suoritetaan suhteessa sen turvatavoitteeseen, joka kuvataan Security Target (ST) -dokumentaation avulla. ST:ssä kuvataan mm. arvioitavan kohteen turvallisuusominaisuudet ja -vaatimukset sekä arvioinnin tarkka laajuus. 
EUCC:n mukaisessa sertifioinnissa käytetään Common Criterian haavoittuvuusarviointi-perheen (AVA_VAN) komponentteja 1 - 5. 
Komponentit AVA_VAN.1 ja AVA_VAN.2 vastaavat sertifiointia varmuustasolla 'korotettu' ja komponentit AVA_VAN.3 - AVA_VAN.5 tasot vastaavat sertifiointia varmuustasolla 'korkea'.

EUCC:n täytäntöönpanoasetus sekä siihen liittyvät 'state-of-the-art'-dokumentit kattavat tarkemmat ohjeet sekä vaatimukset eri osapuolille. Esimerkiksi sertifiointiraportin ja sertifikaatin sisältö, sertifioidun tuotteen merkintätapa tai vaatimukset haavoittuvuuksien hallintaa varten löytyvät kuvattuna sertifiointijärjestelmästä. 

Tuotteiden lisäksi EUCC mahdollistaa sertifioinnin myös Protection Profilelle (PP). 

EUCC sertifiointijärjestelmän täytäntöönpanoasetus on julkaistu Euroopan Unionin virallisessa lehdessä helmikuussa 2024 ja se löytyy alla olevasta linkistä. 

EUCC - täytäntöönpanoasetus (EU) 2024/482

EUCC:n state-of-the-art -dokumentit

EUCS on pilvipalveluille (Cloud Services) tarkoitettu sertifiointijärjestelmä. EUCS on valmisteluvaiheessa, joten tarkkaa varmuutta sen lopullisesta sisällöstä ei ole vielä saatavilla. 

Vuoden 2020 lopussa kommentointikierrokselle julkaistun, luonnoksen mukaisesti tuleva EUCS järjestelmä tulisi sovellettavaksi kaikenlaisille pilvipalveluille (IaaS, PaaS, SaaS ja muut pilvipalvelut) ja se sallisi sertifioinnissa kolme eri varmuustasoa: perustaso, korotettu ja korkea. Lopullinen sisältö selviää kuitenkin vasta sertifiointijärjestelmän valmistuttua ja tässä mainitut asiat voivat poiketa lopullisesta versiosta.  

EU5G on 5G:lle tarkoitettu sertifiointijärjestelmä. EU5G on valmisteluvaiheessa.

EUDIW on eIDAS-asetuksen mukaisen Eurooppalaisen digitaalisen identiteettilompakon sertifiointiin tarkoitettu sertifiointijärjestelmä. EUDIW on valmisteluvaiheessa.
 

EUMSS on tarkoitettu tietoturvapalvelujen (Managed Security Services, MSS) sertifioitiin. Järjestelmä tulee koostumaan yhdestä horisontaalista kerroksesta, joka kattaa kaikille palveluille yhteiset minimivaatimukset sekä vertikaaleista kerroksista joissa on määritelty erityiset tekniset vaatimukset erityyppisille tietoturvapalveluille. Ensimmäinen valmisteltava vertikaali tulee koskemaan poikkeamien hallintaa. 
EUMSS on valmisteluvaiheessa.