一、主要内容概览
近日,欧盟召开第八届网络安全认证大会。会议旨在汇聚网络安全认证生态系统中的利益相关者,共同回顾欧盟网络安全认证重要里程碑,并展望未来的发展和机遇。会上,欧盟网络安全局(ENISA)发布了首批获得欧盟通用标准网络安全认证计划(EU Cybersecurity Certification scheme on Common Criteria,以下简称“EUCC”)认可的合格评定机构,包括SERMA Safety and Security、Atsec information security GmbH等共计10个,涉及法国、德国、西班牙、瑞典4个国家。
新闻链接:
二、网安罗盘简评
EUCC是欧盟首个针对信息通信技术(ICT)产品、服务及流程的网络安全认证计划,旨在通过认证提升欧盟范围内ICT产品、服务及流程的网络安全水平。该认证计划的法律依据是按照欧盟《网络安全法》(EU第2019/881号)框架制定的《关于采用基于欧盟通用标准的网络安全认证计划的规则》(EU第2024/482号),该规则于2024年1月31日正式生效,并于2025年2月27日开始实施。
欧盟网络安全认证框架下网络安全认证体系主要内容包括认证对象、认证机构、认证级别等3个方面。
一是认证对象。主要为进入欧盟的ICT产品(网络或信息系统的一个或一组元素)、ICT服务(通过网络和信息系统传输、存储、检索或处理信息的服务)及ICT流程(为设计、开发、交付或维护ICT产品或服务而进行的一系列活动)。目前网络安全认证是自愿的,除非欧盟或成员国法律另有规定。
二是认证机构。包括国家网络安全认证机构和符合性评估机构两类。其中,国家网络安全认证机构是由各成员国指定的一个或多个国家网络安全认证机构;符合性评估机构则是根据第765/2008号法规(EC)指定的国家专门机构认证认可的第三方评估机构,同时需符合第2019/881号法规(EU)附录中规定的合规性要求。
国家网络安全认证机构和符合性评估机构均可开展网络安全认证,并在通过认证后向ICT产品、服务和流程的生产商和提供者颁发欧盟网络安全证书。但“高级”保证级别的证书一般只能由国家网络安全认证机构签发,经由国家网络安全认证机构授权的符合性评估机构除外。
三是认证级别。分为基本保证级别(basic)、充分保证级别(substantial)、高级保证级别(high)三个级别,区别在于认证审查的范围、程序的严格程度。
| 保证级别 | 风险评估 | 审查范围 |
| 基本(basic) | 对已知事故和网络攻击的可知基本风险进行评估。 | 技术文件 |
| 充分(substantial) | 对可知的网络安全风险及因行为者能力有限而导致的事故和网络攻击风险进行评估。 | 公开的已知漏洞;ICT产品、服务和流程恰当地实现了必要的安全功能。 |
| 高级(high) | 对掌握重要技能和资源的行为者造成的高级别网络攻击的风险进行评估。 | 公开的已知漏洞;证明ICT产品、服务和流程在最先进技术背景下实现了必要的安全保障功能;通过“渗透测试”评估其对熟练攻击者的抵抗能力。 |
按照ENISA的相关规划,欧盟网络安全认证未来还将扩展到其他领域,如云服务(EUCS)、5G网络安全(EU5G)等。
总的来说,EUCC认证为ICT产品进入欧盟市场提供了有力的“通行证”,增强了产品在欧盟市场的竞争力,并且在信息安全领域拥有广泛的认可度。获得EUCC认证意味着产品在很大程度上满足了欧盟对于网络安全的高标准要求。