Certifieringsordningar för cybersäkerhet

EUCC är en certifieringsordning för produkter inom informations- och kommunikationsteknik som grundar sig på Common Criteria för evaluering av IT-säkerhet (Common Criteria for Information Technology Security Evaluation, CC) och gemensam evalueringsmetodik för IT-säkerhet (the Common Methodology for Information Technology Security Evaluation, CEM) som har publicerats till exempel i standarderna ISO/IEC 15408 och ISO/IEC 18405.

EUCC tillåter certifiering av produkter på assuransnivåerna ”betydande” och ”hög”. Dessa kräver alltid en utvärdering av en tredje part. I detta fall utför ett testlaboratorium test av produkten och om alla krav för certifikatet uppfylls beviljar certifieringsorganisationen cybersäkerhetscertifikat i enlighet med EUCC.

Certifieringen av produkten görs i förhållande till dess säkerhetsmålsättning, som beskrivs genom Security Target (ST)-dokumentationen. I ST beskrivs bland annat säkerhetsegenskaper och -krav för objektet som utvärderas samt utvärderingens exakta omfattning. 

I certifiering enligt EUCC används Common Criterias sårbarhetsanalysfamilj (AVA_VAN), komponenterna 1–5. Komponenterna AVA_VAN.1 och AVA_VAN.2 motsvarar certifiering på assuransnivån ”betydande” och komponenterna AVA_VAN.3 - AVA_VAN.5 motsvarar certifiering på assuransnivån ”hög”.

EUCC:s genomförandeförordning och ”state-of-the-art”-dokument som hänför sig till den innefattar närmare anvisningar och krav för olika parter. Till exempel innehållet i certifieringsrapporten och certifikatet, den certifierade produktens märkning eller krav på hantering av sårbarheter beskrivs i certifieringsordningen. 

Förutom produkter möjliggör EUCC också certifiering av Protection Profile (PP). 

Genomförandeförordningen om EUCC:s cybersäkerhetscertifiering har publicerats i Europeiska Unionens officiella tidning i februari 2024 och hittas via länken nedan. 

EUCC - genomförandeförordning(EU) 2024/482

EUCC:s state-of-the-art -dokument

EUCS är en certifieringsordning för molntjänster (Cloud Services). EUCS är i beredningsskedet och det finns ännu inte tillgång till dess exakt slutliga innehåll. 

Enligt utkastet som publicerades i slutet av 2020 för kommenteringsrundan kan EUCS-ordningen tillämpas för alla slags molntjänster (IaaS, PaaS, SaaS och andra molntjänster) och det tillåter tre olika assuransnivåer i certifieringen: grundläggande nivå, betydande och hög. Det slutliga innehållet framgår dock först när certifieringsordningen är färdigt, och det som nämns här kan avvika från den slutliga versionen.  
 

EU5G är en certifieringsordning för 5G. EU5G är i beredningsskedet.

EUDIW är en certifieringsordning för den europeiska digitala identitetsplånboken, i enlighet med eIDAS-förordningen. EUDIW är i beredningsskedet.
 

EUMSS är avsett för certifiering av utlokaliserade säkerhetstjänster (Managed Security Services, MSS). Ordningen kommer att bestå av ett horisontellt lager som omfattar gemensamma minimikrav för alla tjänster samt av olika vertikala lager där det angetts särskilda tekniska krav för olika typer av olika utlokaliserade säkerhetstjänster. Den första vertikalen som bereds kommer att gälla hantering av it-incidenter. 
EUMSS är under beredning.