EU Cybersecurity Act 歐盟網絡安全法

歐盟網絡安全法 EU Cybersecurity Act

《歐盟網絡安全法》修訂並加強了歐盟網絡安全機構(ENISA),並為數位產品、服務和流程,建立了歐盟範圍內的網絡安全認證框架。

《歐盟網絡安全法》主要重點:

  1. 重新強化歐盟網絡安全機構 (European Union Agency for Cybersecurity, ENISA) 的地位與資源
  2. 建立資訊、通訊相關產品、服務、流程的歐盟網絡安全認證框架 (European cybersecurity certification framework )
  3. 使歐盟網絡和資訊系統安全性指令(Directive on Security of Network and Information Systems, NIS Directive)更加完整

歐盟網絡安全機構 European Union Agency for Cybersecurity (ENISA)

歐盟網絡安全機構  (ENISA) 現在更加強大。 《歐盟網絡安全法》授予該機構永久性的授權、更多的資源和新的任務,包含:

  • 建立網絡安全能力:致力於提高歐盟和國家公共當局的網絡安全能力和專業知識。
  • 運營合作與危機管理:根據 NIS, 建立的歐盟電腦安全事件響應小組(CSIRTs)網絡的秘書處,加強歐盟現有的預防性運營能力(例如,通過組織泛歐網絡安全演習)並支持歐盟的網絡安全運營合作。
  • 協調漏洞披露:協助歐盟成員國和歐盟機構、組織和團體改善對網絡安全漏洞的報告,並支持歐洲主要網絡安全參與者之間的合作和信息交流。
  • 推廣網絡安全標準化和認證:通過分析網絡安全市場的趨勢並執行《歐盟網絡安全法》規定的任務,支持歐盟在 ICT 網絡安全標準化和認證領域的政策制定。
  • 政策制定與實施:為歐盟網絡安全政策的實施和發展做出貢獻。

尤其是,ENISA將通過建立特定認證計劃的技術基礎,並通過專用網站將認證計劃和已頒發的證書告知公眾,從而在建立和維護歐洲網絡安全認證框架中發揮關鍵作用。

ENISA還受命在歐盟層級加強運營合作,幫助要求其處理網絡安全事件的歐盟成員國,並在大規模跨界網絡攻擊和危機的情況下支持歐盟的協調。該任務以ENISA作為國家電腦安全事件響應小組(Computer Security Incidents Response Teams, CSIRT)網絡秘書處的角色為基礎,CSIRT 是根據歐盟網絡和資訊系統安全性指令(Directive on security of network and information systems, NIS Directive)建立。


歐盟網絡安全認證框架 European cybersecurity certification framework

強化在歐盟數位單一市場中的信任和網絡安全

一般居民 廠商與供應商
提高產品和服務安全性的透明度。享有競爭優勢,以滿足對數位解決方案不斷增長的安全需求。


歐洲網絡安全認證框架:關鍵要素

  • 面對現代網絡安全認證中的關鍵挑戰
  • 基於風險管理的認證計劃
  • 認證方案採用國際最佳實施典範
  • 開放、包容和透明的治理
  • 歐盟市場認可

《歐盟網絡安全法》為資訊與通訊相關產品、服務和流程建立了歐盟認證框架,特別是與關鍵基礎設施的運營有關。基於風險的不同,歐洲網絡安全認證框架可量身定制歐盟認證計劃。

當面對歐盟單一數位市場 (Digital Single Market時,認證對於提升產品的信任與安全扮演的至關重要的角色。目前,歐盟存在許多針對 ICT 產品的不同安全認證計劃。但是,如果沒有適用於整個歐盟範圍內有效網絡安全證書的通用框架,歐洲單一市場中出現分散和壁壘的風險就會增加。

歐盟網絡安全認證框架將提供歐盟範圍內的認證計劃,作為一套完整的規則、技術要求、標準和程序。這將基於歐盟層級的協議,以評估特定基於 ICT 的產品或服務的安全屬性,例如:智能卡。它將證明已根據此類計劃認證的 ICT 產品和服務符合特定要求。特別是,每個歐洲計劃都應指定:

a)涵蓋的產品和服務的類別,

b)網絡安全要求,例如,通過參考標準或技術規範,

c)評估的類型(例如,自我評估或第三方評估),以及

d)預期的保證水平級別(例如,基本(Basic),實質 (Substantial) 和/或高 (High))。

為了表達網絡安全風險,考量 ICT 產品、服務或過程的用途可能面臨的風險、發生機率與事件所造成的影響,證書可以對應到三個保證水平級別(基本(Basic),實質 (Substantial) 和/或高 (High))。例如,高級別的保證意味著經過認證的產品已經通過了最高安全性測試。由此產生的證書將在所有歐盟成員國中得到認可,從而使企業更容易進行跨境貿易,並使購買者更容易了解產品或服務的安全性。

關於認證框架的實施,聚集在歐洲網絡安全認證小組(European Cybersecurity Certification Group, ECCG)中的成員國當局已經舉行了幾次會議。

如果您有興趣參加以下認證計劃,歡迎您隨時與我們聯繫:

歐盟委員會根據《網絡安全法》第 48.2 條的要求,ENISA 成立了一個特別工作小組(AHWG),以支持準備候選的歐盟網絡安全認證計劃。針對 ICT 產品的網絡安全,目前 EUCC 認證計劃(基於共同準則的歐盟候選網絡安全認證計劃)的草案版本,是根據資訊技術安全評估共同準則、資訊技術安全評估共同方法以及其相應的標準 ISO / IEC 15408 和 ISO / IEC 18045 所制定,未來擬替代根據 SOG-IS 運行的現有共同準則交互認可計劃(CCMRA)。

歐盟委員會根據《網絡安全法》第 48.2 條的要求,ENISA 成立了一個特別工作小組(AHWG),以支持準備候選的歐盟網絡安全認證計劃。目前 EUCS 認證方案(歐盟雲服務網絡安全認證計劃)的草案版本,該草案研究了雲服務的網絡安全認證,以準備作為歐盟網絡安全認證框架的一部分。由於這是一個草稿版本,將用作外部審核的基礎。審查的目的是驗證擬議方案的原則和一般組織,並收集有關各節和附件擬議措詞的反饋。


聯絡資料:philip.ku@tksg.global  [ PGP Public Key ]

(PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)

Last modified: Wednesday, 24 February 2021, 7:46 PM