Stránky o kybernetické bezpečnosti

NCCS (Sektorová pravidla pro kybernetickou bezpečnost)

NCCS a certifikační schémata (EUCC)

Sektorová pravidla pro kybernetickou bezpečnost a evropská schémata certifikace kybernetické bezpečnosti jsou klíčovými nástroji pro praktické naplnění požadavků NIS2 a CRA. Cílem je, aby certifikát vydaný v jednom členském státě byl platný a uznávaný v celé Evropské unii.

Hlavním pilířem je v současnosti EUCC (European Candidate Cybersecurity Certification Scheme), které vychází z mezinárodních standardů Common Criteria (ISO/IEC 15408).

1. Co je to EUCC a jak souvisí s NCCS?

EUCC je první celoevropské schéma certifikace kybernetické bezpečnosti, které bylo zřízeno na základě Aktu o kybernetické bezpečnosti (Cybersecurity Act).

  • Jednotný trh: Nahrazuje roztříštěné národní certifikace (např. francouzské ANSSI nebo německé BSI).
  • Důvěryhodnost: Definuje úrovně záruky (nízká, významná, vysoká), které určují odolnost produktu proti útokům.
  • Dobrovolnost vs. Povinnost: Zatímco certifikace je obecně dobrovolná, nařízení CRA a NIS2 ji pro určité kritické produkty a služby činí povinnou.

2. Proč je certifikace podle EUCC zásadní?

Certifikace poskytuje formální potvrzení, že produkt nebo služba splňuje konkrétní bezpečnostní parametry. Je to „technický průkaz“ bezpečnosti.

  1. Soulad s CRA: Pro kritické produkty (např. HSM moduly, čipové karty) bude certifikace EUCC na úrovni „významná“ nebo „vysoká“ nezbytnou podmínkou pro vstup na trh.
  2. Dodavatelský řetězec v NIS2: Subjekty spadající pod NIS2 budou stále častěji vyžadovat od svých dodavatelů certifikované produkty, aby snížily vlastní riziko a splnily povinnost péče o dodavatelský řetězec.
  3. Konkurenční výhoda: Certifikované produkty mají snazší cestu do státních zakázek a kritické infrastruktury.

3. Úrovně záruky (Assurance Levels)

Schéma EUCC rozlišuje různé hloubky prověřování:

  • Úroveň „Významná“ (Substantial): Zaměřuje se na prevenci známých zranitelností a odolnost proti útočníkům s omezenými schopnostmi a zdroji.
  • Úroveň „Vysoká“ (High): Vyžaduje nejmodernější penetrační testování a prokazuje odolnost proti útočníkům se špičkovými schopnostmi a značnými zdroji (např. státem sponzorované útoky).

4. Role ENISA a národních autorit

Celý systém certifikace je koordinován na dvou úrovních:

  • ENISA: Připravuje technická schémata a spravuje evropský registr certifikovaných produktů.
  • NÚKIB (v ČR): Působí jako národní certifikační autorita, která dohlíží na dodržování pravidel v ČR a akredituje zkušební laboratoře.

5. Výhled pro rok 2026 a dále

Nacházíme se v období, kdy se dobrovolná schémata mění v povinné standardy. Pro firmy to znamená:

  • Auditní připravenost: Firmy musí připravit své produkty na certifikační proces, který může trvat 6–12 měsíců.
  • Sektorová specifika: Vedle obecného EUCC se připravují další schémata, například pro cloudové služby (EUCS) a 5G sítě (EU5G).

Doporučení: Pokud vyvíjíte produkty pro kritickou infrastrukturu, sledujte aktuální seznam certifikovaných komponent v registru ENISA. Výběr certifikovaného komponentu vám výrazně usnadní vlastní certifikaci celého produktu podle CRA.

Back to Top