欧盟将建立ICT产品和服务 网络安全认证机制

字号:  | [关闭本页]
时间:2017-10-30 | 点击(276)

作者:工业和信息化部国际经济技术合作中心 徐程锦

  欧盟委员会于10月4日公布了关于“修改ENISA授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案。该法案自称“网络安全法”(Cybersecurity Act,以下称“欧盟网络安全法”)。 欧盟网络安全法的实质是欧盟网络和信息安全局(ENISA)的授权法,为2004年成立的ENISA赋予新职能,将其改建为欧盟的“网络安全局”,负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一网络安全产品和服务市场,以及研发和创新等工作。根据该法授权,ENISA的一项重要任务就是建立欧盟层面的信息通信技术产品和服务(ICT产品和服务)网络安全认证制度。

  目前,欧盟没有欧盟层面统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有的成员国有相关认证制度,有的成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次欧盟建立ICT产品和服务网络安全认证制度,一方面是为了提高欧盟域内的网络安全水平,另一方面也是为了建立统一市场,实现“一次认证,全域通行”,取代各成员国现有认证体系。

  欧盟网络安全法草案并未规定ICT产品和服务网络安全认证制度的具体细节,而是建立了一个框架性制度,规定了认证制度要实现的目标和应包含的要素,并授权ENISA具体负责建立认证制度。

  关于认证制度的核心条款是草案第45条至第47条。第45条规定了认证制度要实现的7项安全目标,主要是保障数据的保密性、完整性、可获得性。第46条将认证结果分为3个等级,分别是基本(basic)、坚实(substantial)、高级(high)。第47条规定了认证制度应包含的要素,分别为:(a)涵盖的ICT产品和服务类型;(b)通过认证应满足的网络安全标准细节;(c)安全等级;(d)具体的认证评估方法;(e)申请人为获得认证需提供的信息;(f)标志的使用规范;(g)持续合规的要求;(h)维持、扩展或缩小认证范围的条件;(i)获认证的ICT产品或服务不符合规定的处理方法;(j)之前未发现的网络安全漏洞的处理方法;(k)合格评定机构保留记录的义务;(l)确认成员国针对同类ICT产品或服务实施网络安全认证的规范;(m)认证证书的内容。

  欧盟网络安全法草案有三点内容值得注意。其一,根据立法草案内容看,似乎欧盟不会公布一份集中统一的需进行网络安全认证的ICT产品和服务清单,而是要求ENISA根据实际需要或建议,就某一类ICT产品和服务逐次、分别建立网络安全认证制度。ENISA每完成一类ICT产品和服务的网络安全认证制度设计,就提交给欧盟委员会,由欧盟委员会通过立法予以实施。其二,一旦欧盟层面就某一类ICT产品和服务建立了网络安全认证制度,欧盟成员国国内针对该类产品和服务的同类认证即终止实施。结合上述第一点,未来可能出现这种情况,即ENISA已经建立认证制度的ICT产品和服务需要去欧盟层面获得认证,而ENISA尚未建立认证制度的ICT产品和服务需要去成员国国内获得认证。其三,草案称ICT产品和服务网络安全认证制度属于“自愿,除非欧盟法律另有规定”。换言之,欧盟网络安全法并未强制所有ICT产品和服务必须进行网络安全认证,但“欧盟法律另有规定”具体指哪些规定尚不清楚。

  此外,欧盟网络安全法草案还创设了一个“欧盟网络安全认证小组”,由各成员国的认证监督机构组成,负责协助欧盟委员会和ENISA做好网络安全认证工作,提供咨询意见和建议。

  欧盟层面建立统一的ICT产品和服务网络安全认证制度是一个值得关注的趋势,可能对我国对欧出口ICT产品和服务产生潜在重大影响。首先,今年以来,欧盟有对投资欧洲先进技术和ICT领域的外来资本加严审查的趋势,这种加严的态度是否会向外来产品和服务扩展仍有待观察。其次,欧盟没有明确指出将针对哪些ICT产品和服务建立网络安全认证制度,未来还可能出现有些产品和服务需要获得欧盟认证,有些产品和服务需要获得成员国认证的情况,在制度上造成了不稳定和不可预期性。第三,该制度也有可能为我国企业带来好处,即一次性获得在欧盟全域有效的认证结果,降低企业逐个国家获取认证的经营成本。

相关文章
2017/10/30俄罗斯政府批准《2025年前发展民航工业产品出口战略》
2017/10/23五分之一的大型企业现已 聘任首席数字官
2017/10/23波兰公布个人数据保护法草案 旨在执行欧盟一般数据保护条例
2017/10/19俄罗斯政府考虑延长购车优惠计划并支持航空产业发展
2017/10/19欧盟将建立投资审查框架
最新文章
2017/11/17“中国制造2025”国际合作论坛英国主宾国论坛在上海举行
2017/11/17“工业和信息化5G时代专题馆”亮相第十九届高交会
2017/11/16中国最大工业设计展览会下月1日在汉举办
2017/11/16三万平米工业设计大展免费参观注册已经开始
2017/11/10“中国制造2025”国际合作论坛智能制造专场论坛在沪举行