In einer Zeit, in der unsere Volkswirtschaften und unser Privatleben untrennbar mit dem digitalen Raum verbunden sind, ist die Frage der Sicherheit nicht mehr nur ein technisches Detail, sondern eine tragende Säule der europäischen strategischen Autonomie. Die Europäische Union bemüht sich bereits seit Jahren darum, einen digitalen Binnenmarkt zu schaffen, in dem Sicherheit nicht dem Zufall überlassen wird, sondern streng festgelegten Standards und international anerkannten Kriterien unterliegt.

Eines der Schlüsselinstrumente dieser Strategie ist die Zertifizierung der Cybersicherheit. Obwohl dies nach einem bürokratischen Prozess klingen mag, geht es in Wahrheit um die Schaffung von Vertrauen – Vertrauen in Produkte, Dienstleistungen und Prozesse, die wir täglich nutzen: von Bankkarten bis hin zu digitalen Geldbörsen.

Danes govorimo o digitalni varnosti, ki postaja steber evropske strateške avtonomije. Z nami je Philippe Blot, vodja sektorja za certificiranje pri Agenciji Evropske unije za kibernetsko varnost (ENISA). Gospod Blot, ko govorimo o certificiranju v kibernetskem svetu, marsikdo najprej pomisli na birokracijo. Kaj je dejanski namen tega procesa?

Torej, certificiranje kibernetske varnosti – kaj to sploh pomeni? Certificiranje pomeni ocenjevanje rešitev, kot so izdelki, storitve, procesi, upravljane varnostne storitve in tako naprej. Cilj je oceniti in zagotoviti, da izdelek doseže določeno raven kibernetske varnosti, da se lahko izda certifikat za promocijo rešitve in njene stopnje varnosti.

Čeprav se o tem danes več govori, pa področje v resnici ni novo. EU na tem gradi že desetletja.

To ni nujno nekaj novega, saj obstaja že več kot 20 let; nekatere države članice EU sodelujejo v dogovoru, ki omogoča vzajemno priznavanje njihovih certifikatov, ki se ukvarjajo z ocenjevanjem varnosti izdelkov, kot so pametne kartice – na primer bančne kartice, zdravstvene kartice, osebne izkaznice in podobno – pa tudi druge vrste izdelkov. Torej to ni nekaj novega. Novo je bilo to, da je bila pred šestimi leti, leta 2019, z Aktom o kibernetski varnosti agenciji ENISA dodeljena naloga, da razvije sheme, ki bi jih nato sprejeli na ravni EU, da bi imeli usklajene sheme na evropski ravni. Vendar to ni nekaj novega. V veljavi je že vrsto let.

Za nas, državljane, je to pogosto nevidna varnost. Zaščito koristimo skoraj vsakič, ko odpremo svojo denarnico.

Kot državljani se verjetno ne zavedate, da je tisto, kar uporabljate, varno. Večinoma boste izvedeli le, če je nekaj nevarno, ne veste pa, da je varno. Na primer, v vaši fizični denarnici imate osebne izkaznice s čipom. Imate potni list, ki vam omogoča potovanje. Imate bančne kartice, zdravstvene kartice in tako naprej. Vsi ti elementi so varni in so bili kot taki ocenjeni s certifikacijo. Kot državljan imate torej potrdilo za katerega sploh ne veste, da so vaše dragocenosti, kot so osebni dokumenti, zdravstveni podatki in podobno, zaščitene pri uporabi teh recimo kartic. Nadgradnja tega bodo na primer digitalne denarnice, ki bodo državljanom omogočile predložitev dokazila - na primer: "star sem nad 18 let", ne da bi razkrili ime in občutljive osebne podatke.

Namesto drobljenja na majhne nacionalne trge, evropski certifikacijski okvir podjetjem odpira pot do skupnega evropskega trga, vsem državljanom pa zagotavlja enako visoko raven zaščite.

Velika sprememba, ki jo prinaša evropska certifikacija, je predvsem dejstvo, da so trenutno certifikacije večinoma na nacionalni ravni, okvir EU pa ponudnikom rešitev omogoča, da enkrat pridobijo certifikat, ki je priznan na celotni ravni EU. Namesto da nagovarjate le trg Slovenije, Avstrije, Francije ali Nemčije, takoj nagovorite trg s 500 milijoni državljanov. To močno spremeni pravila igre za podjetja. Imeti okvir EU pomeni tudi dvig nivoja in zagotovilo, da rešitve na trgu EU dosegajo določeno stopnjo varnosti.

Do zdaj je bilo certificiranje v veliki meri vprašanje prostovoljne odločitve podjetij. Vendar pa prihaja nova zakonodaja, Akt o kibernetski odpornosti oziroma CRA, ki bo pravila močno zaostrila.

Pomemben element je, da je certifikacija, kot jo opredeljuje zakonodaja EU, večinoma prostovoljna. Kar prihaja kmalu, je uporaba Akta o kibernetski odpornosti (CRA), ki bo še večja sprememba za državljane EU. Gre za to, da mora imeti prav vsak izdelek z digitalnim elementom, ki je dan na trg EU, varnostne funkcije. To ni prostovoljno, ampak obvezno. Cilj bo zagotoviti most med CRA in certifikacijo, tako da bodo nekatere certificirane rešitve imele domnevo o skladnosti z uredbo, ki jo določa CRA. Toda CRA bo večja sprememba za državljane.

Tehnične sheme, ki jih razvija ENISA, so zasnovane tako, da ustavijo različne ravni napadalcev – od amaterjev do profesionalcev.

Sheme so večinoma tehnične narave in ščitijo pred tehničnimi grožnjami. Želimo se zaščititi pred t. i. "script kiddies" – ljudmi, ki niso zelo nadarjeni, a imajo dostop do enostavnih načinov za napade na izdelke –, hkrati pa želimo zajeti tudi visoko usposobljene napadalce, ki bi lahko uporabili svoj talent za dostop do občutljivih podatkov državljanov, podjetij ali vlad.

Da bi se izognili iskanju po sedemindvajsetih različnih nacionalnih seznamih certifikatov, ENISA uvaja enotno bazo in prepoznavno varnostno oznako.

Pomemben napredek je, da namesto da bi vsaka država članica izdajala svoje certifikate in bi moral uporabnik brskati po sedemindvajsetih seznamih, imamo zdaj enotno točko – spletno stran ENISA, kjer so prikazani vsi EU certifikati. Podobno kot imate oznako CE na izdelkih, boste imeli tudi oznako, ki izpostavlja certifikat.

Kibernetske grožnje se spreminjajo vsak dan. Philippe Blot pojasnjuje, kako zagotavljajo aktualnost varnostnih shem.

Torej, shema je živ organizem, kajne? Obstaja postopek vzdrževanja shem, ki omogoča njihovo posodabljanje, tako da so posodobljeni tudi najnovejši načini kibernetskih napadov. Shema je dokument z okoli 50 stranmi, recimo, ki ga podpirajo dodatni dokumenti. Nekateri od teh podpornih dokumentov so smernice ali pojasnila, kako doseči cilje, drugi pa so bolj zavezujoči in jih imenujemo dokumenti o stanju tehnike.

Ti dokumenti na primer pojasnjujejo vrste napadov, ki bi jih moral ocenjevalec izvesti, da bi preizkusil varnost določene vrste izdelka. In ti dokumenti se trenutno posodabljajo vsako leto, da se zagotovi, da se znanje o najnovejših metodah napadov deli in da ga organi za ugotavljanje skladnosti dejansko uporabljajo.

Pri tem je ključno sodelovanje pri razvoju standardov, tako na evropski kot na mednarodni ravni, kjer ENISA tesno sodeluje s Komisijo in drugimi deležniki.

Standardi se razvijajo na evropski ravni in na mednarodni ravni. Na primer, prva shema EUCC za izdelke temelji na standardih ISO, torej mednarodnih standardih, v katerih so zastopane države članice EU. Ko je torej treba standarde posodobiti, so tam tudi udeleženci sheme EU, da predlagajo potrebne spremembe in seveda potrdijo potrebne spremembe standardov ISO za mednarodne standarde. Razvijajo se tudi evropski standardi. Na primer, v primeru sheme za oblak sta bila vzpostavljena dva standarda. Eden o tem, "kaj" – torej kateri so varnostni kontrolni mehanizmi, ki bi veljali za storitve v oblaku. In eden o tem, "kako" – kako oceniti varnost oblaka. Dejstvo, da sta bila ta standarda uspešno podprta in sprejeta, je dober signal, da Evropa dejansko zna razvijati standarde. V pripravi jih je še več za Akt o kibernetski odpornosti (CRA). Trenutno je v razvoju veliko standardov. To seveda ni lahka naloga, saj zahteva veliko pozornosti udeležencev v teh prizadevanjih za standardizacijo.

To nekaj, kar nadzoruje Komisija s podporo agencije ENISA in drugih deležnikov, kot je Skupno raziskovalno središče, da pregledajo standarde, da se ta strah, ki ste ga omenjali, ne bi uresničil. Zato smo tam tudi mi, da sodelujemo pri pregledu in zagotovimo, da ti standardi odražajo tisto, kar je potrebno.

Če vse te tehnične termine prevedemo v jezik vsakdanjega življenja, bi certificiranje lahko primerjali s fizično zaščito naših domov.

Obstaja več prispodob. Če na primer danes pogledate fizično varnost – ko želite zavarovati svoj dom, boste izbrali vrata, ki so bolj ali manj robustna. Za vrata imate različne varnostne stopnje in izbrali boste tisto, ki je potrebna glede na to, kje se vrata nahajajo, in seveda glede na to, kolikšno stopnjo varnosti želite za svoj dom. Torej, certifikacija kibernetske varnosti je namenjena temu, da zagotovi, da rešitve, ki želijo pridobiti ta certifikat – ponavljam, to je še vedno prostovoljen element kibernetske varnosti –, dosežejo ustrezno raven v skladu z določenimi specifikacijami.

Vseeno pa ne smemo pozabiti, da vsa evropska zakonodaja in tehnični certifikati ne pomagajo, če tudi sami nismo previdni – digitalna varnost se namreč vedno konča pri uporabniku in njegovi presoji.

Če nagovarjamo državljane – ne v smislu napadanja, temveč v smislu ozaveščanja –, je certificiranje seveda ena izmed tem. Obstajajo tudi druge uredbe, ki sem jih omenil že prej, na primer Akt o kibernetski odpornosti (CRA), ki bo prav tako zelo pomemben del kibernetske varnosti v Evropi, ko gre za izdelke na trgu. Kot državljan je pomembno, da ne kliknete na vsako sporočilo, ki ga prejmete, ne da bi vsaj malo preverili, kdo je bil pošiljatelj. Da ne mislite, da vas bo banka kontaktirala in od vas zahtevala spletne poverilnice. To so pomembni elementi; zavedanje o grožnjah je ključno in da ne mislite, da bo za vso varnost poskrbljeno kar sabo od sebe. Sami morate biti tisti, ki imate nadzor. Prek evropskega sistema NIS2, CRA in certificiranja bodo zaščite deležne velike organizacije in tudi mala ter srednja podjetja. Ko pa gre za državljane, je to nekaj, o čemer moramo še vedno razmišljati na nacionalni ravni – kako vedeti, kdo vam lahko nudi podporo in vam pomaga dobiti potrebno pomoč, če pride do težave. To je pomembno vedeti kot državljan.

Današnji pogovor nam je osvetlil, kako Evropa gradi svoj digitalni ščit. Philippe Blot iz agencije ENISA nam je jasno pokazal: medtem ko se na ravni EU vzpostavljajo visoki standardi, ki bodo kmalu obvezni za vse izdelke, varnost ostaja skupna odgovornost institucij in nas uporabnikov.

Unser heutiger Gast Philippe Blot, Leiter des Sektors für Zertifizierung bei der Agentur der Europäischen Union für Cybersicherheit, hat für uns ein komplexes, aber entscheidendes Bestreben der Europäischen Union beleuchtet: den Übergang von fragmentierten nationalen Systemen zu einem einheitlichen, transparenten und hochsicheren europäischen Rahmen. Wir haben gesehen, dass Zertifizierung nicht nur ein „toter Buchstabe auf dem Papier“ ist, sondern ein lebendiger Organismus, der sich ständig an die neuesten Angriffstechniken anpasst und damit sowohl Regierungen als auch kleine Unternehmen schützt.

Europa setzt hohe Standards. Mit dem Cyber Resilience Act wird Sicherheit nicht mehr nur eine freiwillige Entscheidung der Hersteller sein, sondern eine Verpflichtung für jedes digitale Produkt auf dem Markt. Dies ist ein großer Schritt zum Schutz der Bürger, aber wie unser Gast betonte, kann systemischer Schutz die individuelle Vorsicht nicht vollständig ersetzen. Die europäische Infrastruktur baut uns sichere Türen, aber es liegt an uns, sorgfältig abzuwägen, wem wir diese Türen öffnen.

Oblikovanje I Gestaltung: Nika Škof & Neža Katzmann Pavlovčič