歐盟委員會于10月4日公布了關于“修改ENISA授權立法和建立信息通信技術產(chǎn)品和服務網(wǎng)絡安全認證制度”的立法草案�����。該法案自稱“網(wǎng)絡安全法”(CybersecurityAct)���。
歐盟網(wǎng)絡安全法的實質(zhì)是歐盟網(wǎng)絡和信息安全局(ENISA)的授權法�,為2004年成立的ENISA賦予新職能��,將其改建為歐盟的“網(wǎng)絡安全局”�����,負責在歐盟層面制定和執(zhí)行網(wǎng)絡安全政策��、提升網(wǎng)絡安全能力�、搜集網(wǎng)絡安全信息�����、構建統(tǒng)一的網(wǎng)絡安全產(chǎn)品和服務市場����,以及研發(fā)和創(chuàng)新等工作。根據(jù)該法授權���,ENISA的一項重要任務就是建立歐盟層面的信息通信技術產(chǎn)品和服務(ICT產(chǎn)品和服務)網(wǎng)絡安全認證制度。
目前����,歐盟沒有歐盟層面統(tǒng)一的ICT產(chǎn)品和服務網(wǎng)絡安全認證制度���,主要依靠各成員國自行組織認證。有的成員國有相關認證制度����,有的成員國沒有�����,并且認證所依據(jù)的技術標準也不完全統(tǒng)一��,企業(yè)同一件產(chǎn)品或服務在不同國家需要重復認證����。此次歐盟建立ICT產(chǎn)品和服務網(wǎng)絡安全認證制度����,一方面是為了提高歐盟域內(nèi)的網(wǎng)絡安全水平,另一方面也是為了建立統(tǒng)一市場�,實現(xiàn)“一次認證�,全域通行”,取代各成員國現(xiàn)有的認證體系�����。
歐盟網(wǎng)絡安全法草案并未規(guī)定ICT產(chǎn)品和服務網(wǎng)絡安全認證制度的具體細節(jié),而是建立了一個框架性制度���,規(guī)定了認證制度要實現(xiàn)的目標和應包含的要素���,并授權ENISA具體負責建立認證制度。
關于認證制度的核心條款是草案第45條至第47條�����。第45條規(guī)定了認證制度要實現(xiàn)的7項安全目標����,主要是保障數(shù)據(jù)的保密性�����、完整性�����、可獲得性。第46條將認證結果分為3個等級�����,分別是基本(basic)�、堅實(substantial)���、高級(high)��。第47條規(guī)定了認證制度應包含的要素,分別為:(a)涵蓋的ICT產(chǎn)品和服務類型����;(b)通過認證應滿足的網(wǎng)絡安全標準細節(jié)���;(c)安全等級���;(d)具體的認證評估方法;(e)申請人為獲得認證需提供的信息�;(f)標志的使用規(guī)范�;(g)持續(xù)合規(guī)的要求;(h)維持�����、擴展或縮小認證范圍的條件�;(i)獲認證的ICT產(chǎn)品或服務不符合規(guī)定的處理方法��;(j)之前未發(fā)現(xiàn)的網(wǎng)絡安全漏洞的處理方法�����;(k)合格評定機構保留記錄的義務;(l)確認成員國針對同類ICT產(chǎn)品或服務實施網(wǎng)絡安全認證的規(guī)范��;(m)認證證書的內(nèi)容�����。
歐盟網(wǎng)絡安全法草案有三點內(nèi)容值得注意。其一���,根據(jù)立法草案內(nèi)容看���,似乎歐盟不會公布一份集中統(tǒng)一的需進行網(wǎng)絡安全認證的ICT產(chǎn)品和服務清單����,而是要求ENISA根據(jù)實際需要或建議��,就某一類ICT產(chǎn)品和服務逐次�、分別建立網(wǎng)絡安全認證制度��。ENISA每完成一類ICT產(chǎn)品和服務的網(wǎng)絡安全認證制度設計�,就提交給歐盟委員會��,由歐盟委員會通過立法予以實施�。其二��,一旦歐盟層面就某一類ICT產(chǎn)品和服務建立了網(wǎng)絡安全認證制度����,歐盟成員國國內(nèi)針對該類產(chǎn)品和服務的同類認證即終止實施�����。結合上述第一點�����,未來可能出現(xiàn)這種情況,即ENISA已經(jīng)建立認證制度的ICT產(chǎn)品和服務需要去歐盟層面獲得認證�,而ENISA尚未建立認證制度的ICT產(chǎn)品和服務需要去成員國國內(nèi)獲得認證。其三��,草案稱ICT產(chǎn)品和服務網(wǎng)絡安全認證制度屬于“自愿�����,除非歐盟法律另有規(guī)定”���。換言之�����,歐盟網(wǎng)絡安全法并未強制所有ICT產(chǎn)品和服務必須進行網(wǎng)絡安全認證��,但“歐盟法律另有規(guī)定”具體指哪些規(guī)定尚不清楚��。
此外����,歐盟網(wǎng)絡安全法草案還創(chuàng)設了一個“歐盟網(wǎng)絡安全認證小組”����,由各成員國的認證監(jiān)督機構組成���,負責協(xié)助歐盟委員會和ENISA做好網(wǎng)絡安全認證工作,提供咨詢意見和建議�。
歐盟層面建立統(tǒng)一的ICT產(chǎn)品和服務網(wǎng)絡安全認證制度是一個值得關注的趨勢,可能對我國對歐出口ICT產(chǎn)品和服務產(chǎn)生潛在的重大影響��。首先����,今年以來,歐盟有對投資歐洲先進技術和ICT領域的外來資本加嚴審查的趨勢�����,這種加嚴的態(tài)度是否會向外來產(chǎn)品和服務擴展仍有待觀察��。其次���,歐盟沒有明確指出將針對哪些ICT產(chǎn)品和服務建立網(wǎng)絡安全認證制度,未來還可能出現(xiàn)有些產(chǎn)品和服務需要獲得歐盟認證�,有些產(chǎn)品和服務需要獲得成員國認證的情況,在制度上造成了不穩(wěn)定和不可預期性���。再次����,該制度也有可能為我國企業(yè)帶來好處,即一次性獲得在歐盟全域有效的認證結果���,降低企業(yè)逐個國家獲取認證的經(jīng)營成本����。(工業(yè)和信息化部國際經(jīng)濟技術合作中心 徐程錦)
轉自:人民郵電報
【版權及免責聲明】凡本網(wǎng)所屬版權作品�,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力���。凡轉載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點���,不代表本網(wǎng)觀點和立場�����。版權事宜請聯(lián)系:010-65363056��。
延伸閱讀
