Kanadai kiberbiztonsági minősítési rendszer
Kanada elindította az első hivatalos, állami szintű kiberbiztonsági minősítési rendszert a védelmi beszállítók számára, amely a teljes hadiipari ellátási lánc kockázatainak csökkentését célozza. A program neve Canadian Program for Cyber Security Certification (CPCSC), és egy több szintből álló, kötelezővé váló megfelelési keretrendszert vezet be.
A rendszer első szintje 2026 áprilisától érhető el, és már 2026 nyarától megjelenik bizonyos védelmi szerződésekben. Ez a Level 1 szint egy alapbiztonsági baseline-t határoz meg, amelynek keretében a beszállítóknak évente önértékelést kell végezniük, és igazolniuk kell, hogy megfelelnek egy meghatározott kontrollcsomagnak (összesen 13 alapvető követelménynek).
A program lényege nem pusztán compliance, hanem a beszállítói ökoszisztéma strukturált kockázatkezelése. A kanadai kormány kifejezetten arra reagál, hogy a védelmi beszállítók egyre gyakrabban célpontjai állami és bűnözői szereplőknek, különösen érzékeny, de nem minősített információk megszerzése érdekében.
A CPCSC háromszintű modellben épül fel. Az első szint után a Level 2 már külső, akkreditált auditot igényel, míg a Level 3 a legmagasabb kockázatú projektekhez kapcsolódik, és közvetlen állami értékelést jelent. Ez a struktúra lehetővé teszi, hogy a követelmények a projekt érzékenységéhez igazodjanak, miközben a teljes ellátási láncban egységes minimumszint alakul ki.
Stratégiai szinten a program illeszkedik a nemzetközi trendekhez, különösen az amerikai CMMC modellhez, amellyel technikai szinten összehangolták. Ez biztosítja, hogy a kanadai beszállítók interoperábilisak maradjanak a szövetséges piacokon, miközben a nemzeti szuverenitás és adatvédelem is megmarad.
A bevezetés fokozatos, ami kockázatkezelési szempontból fontos, kezdetben nem a pályázati szakaszban, hanem a szerződés odaítélésekor kell megfelelni a követelményeknek, így időt ad a vállalatoknak az alkalmazkodásra.
