前情回顾·数字产品安全基线

安全内参2月1日消息,欧洲委员会在昨天(1月31日)通过了欧洲网络安全认证计划,这是欧盟首个用于认证信息与通信技术(ICT)产品的网络安全计划,符合欧盟网络安全法的目标。

该计划全称“基于欧洲通用标准的网络安全认证计划”(EUCC)。它提供了一整套规则,以确保ICT产品在其生命周期内的可信度。

ICT产品指以数字形式电子访问、处理、存储、传输或获取信息的商品。这些产品涵盖无线和智能设备,同时也包括技术组件,如芯片、智能卡、硬件和软件。

通用标准(CC)实验室是ICT安全认证实验室,负责采用经授权的标准化方法评估ICT产品的安全性。根据欧盟网络安全局(ENISA)数据,全球一半以上的通用标准实验室位于欧洲,而每年颁发的350个通用标准证书中有60%系欧盟发放。

欧洲委员会发言人对外媒Euractiv表示,“EUCC计划框架的目标是提高欧盟市场上ICT产品、服务和流程的网络安全水平。”发言人补充道,“为了实现这一目标,具体措施是制定一套全面的规则、技术要求、标准和程序,在整个联盟范围内加以落实。”

EUCC计划实施的第一阶段大约为期一年,着重建立公共和私人的合格评定机构(CABs)。

欧盟网络安全局发言人Laura Heuvinck表示,“在欧盟范围内,EUCC计划为所有有意愿的欧盟成员国提供了运营公共和私人合格评定机构的机会。”Heuvinck还说,“在更广泛的全球背景下,该计划的采纳为联盟范围内的公共采购开辟了机会,因为认证受到欧盟条约的约束。”

目前,欧盟网络安全局正在制定另外两个网络安全认证计划,分别针对云服务和5G安全。同时,他们也在评估其他项目的可行性,包括人工智能网络安全认证电子识别、认证和信任服务(eIDAS)认证战略。

托管安全服务

EUCC计划属于2019年网络安全法下的欧盟网络安全认证框架。

欧洲委员会发言人解释道,2023年4月,委员会提出对网络安全法进行有针对性修正,“将欧洲网络安全认证框架扩展到托管的安全服务,让后者也能受益。”

托管安全服务是指,执行或支持客户网络安全风险管理活动的服务。对于欧盟而言,这些服务在预防和缓解网络安全事件方面变得越来越重要。

协调一致的方法

EUCC计划的实施基于17个欧盟成员国正在使用的高级官员集团信息系统安全协议(SOG-IS)通用标准评估框架。计划旨在在SOG-IS协议下协调各国认证计划并取而代之。

通过EUCC计划,欧盟希望引入一种更迅速、更有效的认证机制,使企业在各国、欧盟和全球范围内保持竞争力。

EUCC计划不仅会协调各国认证计划,还将为网络弹性法案和修订后的网络与信息安全指令(NIS2)等法规提供重要补充。

对于被认为对社会运行至关重要的组织,可能会强制实施EUCC等认证计划。

参考资料:https://www.euractiv.com/section/cybersecurity/news/eu-adopts-first-cybersecurity-scheme-to-certify-ict-products/、https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。