歐盟委員會(huì)于10月4日公布了關(guān)于“修改ENISA授權(quán)立法和建立信息通信技術(shù)產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度”的立法草案��。該法案自稱“網(wǎng)絡(luò)安全法”(CybersecurityAct)��。
歐盟網(wǎng)絡(luò)安全法的實(shí)質(zhì)是歐盟網(wǎng)絡(luò)和信息安全局(ENISA)的授權(quán)法��,為2004年成立的ENISA賦予新職能��,將其改建為歐盟的“網(wǎng)絡(luò)安全局”��,負(fù)責(zé)在歐盟層面制定和執(zhí)行網(wǎng)絡(luò)安全政策��、提升網(wǎng)絡(luò)安全能力��、搜集網(wǎng)絡(luò)安全信息��、構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場(chǎng)��,以及研發(fā)和創(chuàng)新等工作��。根據(jù)該法授權(quán)��,ENISA的一項(xiàng)重要任務(wù)就是建立歐盟層面的信息通信技術(shù)產(chǎn)品和服務(wù)(ICT產(chǎn)品和服務(wù))網(wǎng)絡(luò)安全認(rèn)證制度��。
目前��,歐盟沒有歐盟層面統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度��,主要依靠各成員國(guó)自行組織認(rèn)證��。有的成員國(guó)有相關(guān)認(rèn)證制度��,有的成員國(guó)沒有��,并且認(rèn)證所依據(jù)的技術(shù)標(biāo)準(zhǔn)也不完全統(tǒng)一��,企業(yè)同一件產(chǎn)品或服務(wù)在不同國(guó)家需要重復(fù)認(rèn)證��。此次歐盟建立ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度��,一方面是為了提高歐盟域內(nèi)的網(wǎng)絡(luò)安全水平��,另一方面也是為了建立統(tǒng)一市場(chǎng),實(shí)現(xiàn)“一次認(rèn)證��,全域通行”��,取代各成員國(guó)現(xiàn)有的認(rèn)證體系��。
歐盟網(wǎng)絡(luò)安全法草案并未規(guī)定ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度的具體細(xì)節(jié)��,而是建立了一個(gè)框架性制度��,規(guī)定了認(rèn)證制度要實(shí)現(xiàn)的目標(biāo)和應(yīng)包含的要素��,并授權(quán)ENISA具體負(fù)責(zé)建立認(rèn)證制度��。
關(guān)于認(rèn)證制度的核心條款是草案第45條至第47條��。第45條規(guī)定了認(rèn)證制度要實(shí)現(xiàn)的7項(xiàng)安全目標(biāo)��,主要是保障數(shù)據(jù)的保密性��、完整性��、可獲得性��。第46條將認(rèn)證結(jié)果分為3個(gè)等級(jí),分別是基本(basic)��、堅(jiān)實(shí)(substantial)��、高級(jí)(high)��。第47條規(guī)定了認(rèn)證制度應(yīng)包含的要素��,分別為:(a)涵蓋的ICT產(chǎn)品和服務(wù)類型��;(b)通過認(rèn)證應(yīng)滿足的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)細(xì)節(jié)��;(c)安全等級(jí)��;(d)具體的認(rèn)證評(píng)估方法��;(e)申請(qǐng)人為獲得認(rèn)證需提供的信息��;(f)標(biāo)志的使用規(guī)范��;(g)持續(xù)合規(guī)的要求��;(h)維持��、擴(kuò)展或縮小認(rèn)證范圍的條件��;(i)獲認(rèn)證的ICT產(chǎn)品或服務(wù)不符合規(guī)定的處理方法��;(j)之前未發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞的處理方法��;(k)合格評(píng)定機(jī)構(gòu)保留記錄的義務(wù)��;(l)確認(rèn)成員國(guó)針對(duì)同類ICT產(chǎn)品或服務(wù)實(shí)施網(wǎng)絡(luò)安全認(rèn)證的規(guī)范��;(m)認(rèn)證證書的內(nèi)容��。
歐盟網(wǎng)絡(luò)安全法草案有三點(diǎn)內(nèi)容值得注意��。其一��,根據(jù)立法草案內(nèi)容看��,似乎歐盟不會(huì)公布一份集中統(tǒng)一的需進(jìn)行網(wǎng)絡(luò)安全認(rèn)證的ICT產(chǎn)品和服務(wù)清單��,而是要求ENISA根據(jù)實(shí)際需要或建議��,就某一類ICT產(chǎn)品和服務(wù)逐次��、分別建立網(wǎng)絡(luò)安全認(rèn)證制度��。ENISA每完成一類ICT產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全認(rèn)證制度設(shè)計(jì)��,就提交給歐盟委員會(huì),由歐盟委員會(huì)通過立法予以實(shí)施��。其二��,一旦歐盟層面就某一類ICT產(chǎn)品和服務(wù)建立了網(wǎng)絡(luò)安全認(rèn)證制度��,歐盟成員國(guó)國(guó)內(nèi)針對(duì)該類產(chǎn)品和服務(wù)的同類認(rèn)證即終止實(shí)施��。結(jié)合上述第一點(diǎn)��,未來可能出現(xiàn)這種情況��,即ENISA已經(jīng)建立認(rèn)證制度的ICT產(chǎn)品和服務(wù)需要去歐盟層面獲得認(rèn)證��,而ENISA尚未建立認(rèn)證制度的ICT產(chǎn)品和服務(wù)需要去成員國(guó)國(guó)內(nèi)獲得認(rèn)證��。其三��,草案稱ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度屬于“自愿��,除非歐盟法律另有規(guī)定”��。換言之��,歐盟網(wǎng)絡(luò)安全法并未強(qiáng)制所有ICT產(chǎn)品和服務(wù)必須進(jìn)行網(wǎng)絡(luò)安全認(rèn)證��,但“歐盟法律另有規(guī)定”具體指哪些規(guī)定尚不清楚��。
此外��,歐盟網(wǎng)絡(luò)安全法草案還創(chuàng)設(shè)了一個(gè)“歐盟網(wǎng)絡(luò)安全認(rèn)證小組”��,由各成員國(guó)的認(rèn)證監(jiān)督機(jī)構(gòu)組成��,負(fù)責(zé)協(xié)助歐盟委員會(huì)和ENISA做好網(wǎng)絡(luò)安全認(rèn)證工作��,提供咨詢意見和建議��。
歐盟層面建立統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度是一個(gè)值得關(guān)注的趨勢(shì)��,可能對(duì)我國(guó)對(duì)歐出口ICT產(chǎn)品和服務(wù)產(chǎn)生潛在的重大影響��。首先��,今年以來��,歐盟有對(duì)投資歐洲先進(jìn)技術(shù)和ICT領(lǐng)域的外來資本加嚴(yán)審查的趨勢(shì)��,這種加嚴(yán)的態(tài)度是否會(huì)向外來產(chǎn)品和服務(wù)擴(kuò)展仍有待觀察��。其次��,歐盟沒有明確指出將針對(duì)哪些ICT產(chǎn)品和服務(wù)建立網(wǎng)絡(luò)安全認(rèn)證制度,未來還可能出現(xiàn)有些產(chǎn)品和服務(wù)需要獲得歐盟認(rèn)證��,有些產(chǎn)品和服務(wù)需要獲得成員國(guó)認(rèn)證的情況��,在制度上造成了不穩(wěn)定和不可預(yù)期性��。再次��,該制度也有可能為我國(guó)企業(yè)帶來好處��,即一次性獲得在歐盟全域有效的認(rèn)證結(jié)果��,降低企業(yè)逐個(gè)國(guó)家獲取認(rèn)證的經(jīng)營(yíng)成本��。(工業(yè)和信息化部國(guó)際經(jīng)濟(jì)技術(shù)合作中心 徐程錦)
轉(zhuǎn)自:人民郵電報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個(gè)人觀點(diǎn)��,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
