Art. 52. - Art. 52: Niveluri de asigurare ale sistemelor europene de certificare a securităţii cibernetice - Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Acte UE
Jurnalul Oficial 151L
În vigoare Versiune de la: 7 Iunie 2019
Art. 52: Niveluri de asigurare ale sistemelor europene de certificare a securităţii cibernetice
(1)Un sistem european de certificare a securităţii cibernetice poate stabili unul sau mai multe dintre următoarele niveluri de asigurare pentru produsele TIC, serviciile TIC şi procesele TIC: "de bază", "substanţial" sau "ridicat". Nivelul de asigurare este corespunzător nivelului riscului asociat cu utilizarea preconizată a unui produs TIC, serviciu TIC sau proces TIC, înţeles ca probabilitate şi impact al unui incident.
(2)Certificatele europene de securitate cibernetică şi declaraţiile de conformitate UE fac trimitere la orice nivel de asigurare prevăzut în sistemul european de certificare a securităţii cibernetice în temeiul căruia a fost emis certificatul european de securitate cibernetică sau declaraţia de conformitate UE.
(3)Cerinţele de securitate corespunzătoare fiecărui nivel de asigurare sunt prevăzute de sistemul european de certificare a securităţii cibernetice relevant, inclusiv funcţiile de securitate corespunzătoare şi rigoarea şi profunzimea corespunzătoare ale evaluării la care a fost supus produsul TIC, serviciul TIC sau procesul TIC.
(4)Certificatul sau declaraţia de conformitate UE face trimitere la specificaţii tehnice, standarde şi proceduri conexe acestora, inclusiv controale tehnice, al căror scop este de a diminua riscul de incidente de securitate cibernetică sau de a le preîntâmpina.
(5)Un certificat european de securitate cibernetică sau o declaraţie de conformitate UE care face trimitere la nivelul de asigurare "de bază" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv sau declaraţia de conformitate UE respectivă îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor de bază cunoscute de incidente şi atacuri cibernetice. Activităţile de evaluare includ cel puţin o examinare a documentaţiei tehnice. În cazurile în care o astfel de examinare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(6)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "substanţial" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscurilor pentru securitatea cibernetică cunoscute şi a riscurilor de incidente şi atacuri cibernetice desfăşurate de actori cu competenţe şi resurse limitate. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public şi testarea faptului că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi de evaluare înlocuitoare cu efect echivalent.
(7)Un certificat european de securitate cibernetică care face trimitere la nivelul de asigurare "ridicat" oferă asigurare cu privire la faptul că produsele TIC, serviciile TIC şi procesele TIC pentru care se eliberează certificatul respectiv îndeplinesc cerinţele de securitate corespunzătoare, inclusiv funcţiile de securitate, şi că acestea au fost evaluate la un nivel care urmăreşte minimizarea riscului de atacuri cibernetice de ultimă generaţie desfăşurate de actori cu competenţe şi resurse substanţiale. Activităţile de evaluare includ cel puţin următoarele: o examinare pentru a demonstra absenţa vulnerabilităţilor cunoscute public; testarea pentru a demonstra că produsele TIC, serviciile TIC şi procesele TIC implementează corect funcţiile de securitate necesare, la nivel de ultimă generaţie, şi o evaluare a rezistenţei acestora la atacatori competenţi prin teste de rezistenţă la intruziuni. În cazurile în care oricare dintre aceste activităţi de evaluare nu este adecvată, se desfăşoară activităţi înlocuitoare cu efect echivalent.
(8)Un sistem european de certificare a securităţii cibernetice poate specifica mai multe niveluri de evaluare în funcţie de rigoarea şi profunzimea metodologiei de evaluare utilizate. Fiecare dintre nivelurile de evaluare corespunde unuia dintre nivelurile de asigurare şi este definit printr-o combinaţie corespunzătoare de componente ale asigurării.