Технічні рішення для дотримання вимог безпеки передбачені в європейських стандартах. Ці стандарти розробляються зацікавленими сторонами, і стандарти забезпечують сумісність і безпеку, знижують витрати, полегшують інтеграцію компаній в торгівлю. Подальша розробка стандартів, з огляду на широкомасштабний характер цієї діяльності зі стандартизації, будь-які зміни сфери застосування або вимог, повинні здійснюватися на рівні ЄС, щоб уникнути спотворення ринку.
Нові ризики, пов'язані з новими технологіями, а також певні ризики, пов'язані з традиційними технологіями, будуть усунені шляхом направлення спеціального запиту Комісії на стандартизацію в рамках чинного правового тексту. Це буде доповнено випуском нового запиту Комісії на стандартизацію в рамках поточних вимог безпеки в юридичному тексті.
Коли існуючі стандарти для різних типів машин підлягають перегляду, такі переглянуті стандарти можуть включати або не включати області в залежності від інтерпретації стандартизаторами вимог щодо загрози кібербезпеки як зовнішньої небезпеки.
Вимоги нового Регламенту не поширюються на кібербезпеку як таку, а поширюються тільки на кібербезпеку, якщо вона впливає на безпеку. Системи управління повинні бути спроектовані і виготовлені таким чином, щоб вони могли витримувати передбачені експлуатаційні навантаження і зовнішні впливи». Такі зовнішні впливи можуть інтерпретуватися або не інтерпретуватися, включаючи кібератаки. Якщо інтерпретація стандартизаторів полягає в тому, що кібератаки не включені, то стандарти не будуть пропонувати технічні рішення для їх усунення.
Якщо в юридичному тексті спеціально зазначено, що до зовнішніх впливів відносяться кібератаки, то можлива тільки одна інтерпретація, і стандарти будуть пропонувати технічні рішення, щоб машина могла протистояти таким кібератакам.
Комісія надішле запит на стандартизацію, щоб офіційно вимагати перегляду і розробки будь-яких необхідних нових гармонізованих стандартів. Ці гармонізовані стандарти будуть деталізувати сучасні технічні рішення, що забезпечують відповідність. Пріоритет повинен бути відданий виконанню цієї роботи на міжнародному рівні (ISO/IEC) для підтримки конкурентоспроможності промисловості ЄС.
Закон ЄС про кібербезпеку вніс кардинальні зміни в область кібербезпеки, шляхом створення єдиної структури, що об'єднує різні схеми оцінки.
Рамкова система сертифікації кібербезпеки ЄС полегшує виробникам-розробникам обслуговування ринку ЄС. Єдина система сертифікації по всьому ЄС знижує вплив фрагментарного ринку на економіку. Створення сертифікаційних схем і роль органів зі стандартизації дуже важливі.
Існує гостра необхідність у створенні горизонтальних стандартів з потенційним міжнародним охопленням. Європа прагне стати лідером у галузі сертифікації та стандартизації кібербезпеки.
CEN, CENELEC та ETSI повинні активно заохочуватися та підтримуватися Європейською комісією за допомогою адекватних запитів на стандартизацію.
Коли міжнародний стандарт існує в певній галузі, він повинен бути кращим вибором для використання. Необхідно ретельно контролювати конкуренцію та дублювання. План ЄС може бути відповідним інструментом координації для синхронізації структури оцінки кібербезпеки та відповідних стандартів.
Переваги стандартизації в галузі кібербезпеки очевидні і добре відомі:
розвиток знань і обізнаність про кібербезпеку, гармонізація
термінології, узгодженість між різними виробниками, постачальниками і користувачами, відтворюваність,
перевірка продуктивності, оцінка безпеки, цілісність і безпека ланцюжка поставок.
У конкретному випадку оцінки кібербезпеки, з одного боку, необхідна стандартизація:
оцінка ризику безпеки, мета безпеки, профіль захисту, критерії оцінки, методи, супровід сертифікатів кібербезпеки протягом усього життєвого циклу.
З іншого боку, узгодженість між оцінками, виконаними різними лабораторіями, є ключовим питанням.
Стандартизація, швидше за все, забезпечить необхідну узгодженість оцінки кібербезпеки по всьому ЄС і, можливо, по всьому світу, щоб створити гармонізований світовий ринок кібербезпеки. Основна мета полягає в тому, щоб гарантувати, що будь-яка оцінка кібербезпеки, зроблена в будь-якій державі-члені ЄС, є цінною і прийнятною для всіх держав-членів ЄС і не потрібно проводити множинні оцінки.
Ще одним важливим моментом є те, що оцінка відповідно до сертифікації кібербезпеки введе нові вимоги, наприклад, різні рівні гарантії (базовий, істотний і високий) для охоплення різного аналізу ризиків.
Вартість оцінки не може і не повинна бути однаковою для ядерних, космічних або оборонних пристроїв і простих підключених до Інтернету.
