Wprowadzenie europejskiego standardu EN 18037:2025 otwiera nowy rozdział w podejściu do cyberbezpieczeństwa w sektorach ICT. W erze intensywnej cyfryzacji i złożonych systemów technologicznych, organizacje potrzebują jednolitych narzędzi do identyfikacji zagrożeń, zarządzania ryzykiem oraz zapewnienia bezpieczeństwa cyfrowego. EN 18037:2025, opracowany przez komitet techniczny CEN-CENELEC JTC 13, odpowiada na te potrzeby, wprowadzając kompleksowe wytyczne dotyczące sektorowej oceny cyberbezpieczeństwa.

Źródło: Freepik

Czym jest EN 18037:2025 i dlaczego jest ważny?

EN 18037:2025 to europejski standard, który określa metodykę oceny cyberbezpieczeństwa w złożonych sektorowych systemach ICT. Bazując na analizie ryzyka, wspiera identyfikację wymagań dotyczących certyfikacji i zapewnienia jakości dla produktów, usług oraz procesów ICT w środowiskach z wieloma interesariuszami.

Główne obszary zastosowania standardu obejmują:

• Sieci mobilne 5G i IoT,
• Cyfrową tożsamość i e-administrację,
• E-zdrowie i ochronę danych medycznych,
• Transport publiczny i inteligentne miasta,
• Systemy płatności i sektor fintech.

Kluczowe elementy metodyki EN 18037:2025

1. Kontekstualizacja procesów biznesowych

Analiza procesów wspieranych przez systemy ICT oraz celów biznesowych interesariuszy w celu identyfikacji zasobów kluczowych dla ich działalności.

2. Mapowanie zasobów i systemów

Identyfikacja i dokumentacja systemów, produktów oraz procesów ICT mających znaczenie dla zapewnienia bezpieczeństwa i jakości usług.

3. Wykorzystanie informacji o zagrożeniach (CTI)

Pozyskiwanie danych o potencjalnych atakujących, ich motywacjach i możliwościach, umożliwiające skuteczniejsze priorytetyzowanie ryzyk.

4. Ocena ryzyka

Analiza wpływu potencjalnych incydentów na cele biznesowe oraz ocena prawdopodobieństwa ich wystąpienia, przy wykorzystaniu danych CTI.

5. Poziomy odniesienia

System referencyjny obejmujący:

• Ryzyko wewnętrzne,
• Poziomy bezpieczeństwa,
• Zapewnienie jakości,
• Potencjał ataku, który wspiera spójność i standaryzację procesu oceny ryzyka.

Korzyści wynikające z wdrożenia EN 18037:2025

• Lepsze decyzje dzięki analizie ryzyka

Możliwość skuteczniejszej identyfikacji i zarządzania ryzykiem na wszystkich poziomach architektury organizacyjnej.

• Harmonizacja certyfikacji

Spójność między różnymi schematami oceny i certyfikacji, umożliwiająca wykorzystanie istniejących certyfikatów w wielu kontekstach.

• Powtarzalne kontrole bezpieczeństwa

Ułatwienie tworzenia skalowalnych i interoperacyjnych mechanizmów kontroli bezpieczeństwa w sektorowych systemach ICT.

Praktyczne zastosowanie standardu EN 18037:2025

Opracowany początkowo z myślą o unijnym Akcie o cyberbezpieczeństwie, dziś standard znajduje szerokie zastosowanie w wielu sektorach.

Typowe zastosowania obejmują:

• Projektowanie i aktualizację schematów certyfikacyjnych ICT,
• Zgodność z wymaganiami unijnego Aktu o odporności cybernetycznej,
• Weryfikację zgodności produktów i usług przed ich wdrożeniem na rynek UE.

FAQ – najczęściej zadawane pytania

1. Czy EN 18037:2025 jest obowiązkowy?
Nie. Standard ma charakter dobrowolny, jednak może być wymagany w określonych schematach certyfikacyjnych.

2. Jakie sektory skorzystają najbardziej?
Sektory silnie zależne od ICT, takie jak transport, zdrowie, fintech, administracja publiczna i przemysł 4.0.

3. Jak rozpocząć wdrażanie standardu?
Od przeprowadzenia analizy ryzyka na podstawie procesów biznesowych oraz mapowania zasobów i systemów ICT.

4. Czy standard wspiera interoperacyjność?
Tak. EN 18037:2025 promuje współdziałanie między systemami oraz kompatybilność certyfikacji.

5. Gdzie zdobyć pełną wersję standardu?
Dokument jest dostępny na stronie: cencenelec.eu

EN 18037:2025 to krok milowy w kierunku zintegrowanego podejścia do cyberbezpieczeństwa w Europie.

Dzięki spójnej metodyce opartej na analizie ryzyka, umożliwia harmonizację poziomów bezpieczeństwa i jakości w sektorach ICT.

Źródło: gov