欧盟委员会通过了关于欧盟通用标准网络安全认证计划(EUCC)的实施条例。该结果与ENISA为响应欧盟委员会发出的要求而起草的EUCC候选网络安全认证计划一致。
在起草候选计划时,ENISA得到了一个特设工作组(AHWG)的支持,该工作组由来自整个行业和欧盟成员国国家网络安全认证机构(NCCA)的领域专家组成。
ENISA感谢成员国通过欧洲网络安全认证小组(ECCG)提供的指导和支持,以及利益相关者网络安全认证小组(SCCG)的贡献。
作为第一个被采用的欧盟网络安全认证计划,预计EUCC将为目前正在准备的下一个计划铺平道路。虽然实施法案是欧盟法律“acquis communautaire”的一部分,但网络安全认证框架是自愿的。随着时间的推移,EUCC将取代以前在SOG-IS协议下的国家认证计划。
欧盟网络安全机构执行主任Juhan Lepassaar强调,“第一个网络安全认证计划的采用标志着迈向可信的欧盟数字单一市场的里程碑,这是目前正在制定的欧盟网络安全认证框架的一部分。
什么是EUCC?
根据 2019 年《网络安全法》的规定,新计划属于欧盟网络安全认证框架。该框架的目标是提高欧盟市场ICT产品、服务和流程的网络安全水平。为此,它制定了一套全面的规则、技术标准要求、标准和程序,适用于整个联盟。
新的EUCC计划是自愿的,允许希望展示保证证明的ICT供应商通过欧盟普遍理解的评估程序,以认证ICT产品,如技术组件(芯片、智能卡)、硬件和软件。
该计划基于已在 17 个欧盟成员国使用的久经考验的 SOG-IS 通用标准评估框架。它根据与产品、服务或过程的预期用途相关的风险水平,在事故的概率和影响方面提出了两个级别的保证。
基于广泛的研究和咨询,该综合计划已根据欧盟成员国的需求量身定制。因此,欧盟范围内的认证机制使欧洲企业能够在国家、欧盟和全球层面进行竞争。
换言之,EUCC等欧盟认证计划也有望激励供应商遵守网络安全认证要求。EUCC进入了ENISA发布的新报告中研究的充满活力的网络认证市场,该报告继续发展致力于ICT产品和服务的评估方法和机构的数量。
欧盟允许在实施新的网络安全计划期间进行现有认证
ENISA与特设工作组一起,根据确定和商定的安全要求和公认的评估方法编制了候选方案。
在ECCG发表意见后,ENISA将起草的计划转交给了欧盟委员会。因此,欧盟委员会颁布的执行法案随后根据称为委员会程序的相关程序获得通过。
通过的法案预计有一个过渡期,在此期间,各组织仍将能够从选定成员国的国家计划下的现有认证中受益。有兴趣评估EUCC的合格评定机构(CAB)可以得到认可和通知。供应商将能够根据 EUCC 中规定的添加或更新要求评估其解决方案后,将其现有的 SOG-IS 证书转换为 EUCC 证书。
根据EUCC颁发的证书将由ENISA发布。ENISA还在专门的认证网站上发布实施法案和支持文件,如附件、最先进的文件和指南。欧盟网络安全局还提出了支持材料,包括有关该计划最新发展并支持其实施的视频。
其他欧盟网络安全认证计划
ENISA目前正在制定另外两个网络安全认证计划,即云服务的EUCS和5G安全的EU5G。该机构还对欧盟对人工智能的网络安全认证要求进行了可行性研究,并正在支持欧盟委员会和成员国制定eIDAS/钱包的认证战略。最近,欧盟委员会提出了对《网络安全法》的修正案,该修正案预见了托管安全服务(MSSP)的计划。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...