歐盟將建立ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證機制


中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)   時間:2017-10-30





  歐盟委員會于10月4日公布了關(guān)于“修改ENISA授權(quán)立法和建立信息通信技術(shù)產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度”的立法草案。該法案自稱“網(wǎng)絡(luò)安全法”(CybersecurityAct)。
 
  歐盟網(wǎng)絡(luò)安全法的實質(zhì)是歐盟網(wǎng)絡(luò)和信息安全局(ENISA)的授權(quán)法,為2004年成立的ENISA賦予新職能,將其改建為歐盟的“網(wǎng)絡(luò)安全局”,負責(zé)在歐盟層面制定和執(zhí)行網(wǎng)絡(luò)安全政策、提升網(wǎng)絡(luò)安全能力、搜集網(wǎng)絡(luò)安全信息、構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)市場,以及研發(fā)和創(chuàng)新等工作。根據(jù)該法授權(quán),ENISA的一項重要任務(wù)就是建立歐盟層面的信息通信技術(shù)產(chǎn)品和服務(wù)(ICT產(chǎn)品和服務(wù))網(wǎng)絡(luò)安全認證制度。
 
  目前,歐盟沒有歐盟層面統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度,主要依靠各成員國自行組織認證。有的成員國有相關(guān)認證制度,有的成員國沒有,并且認證所依據(jù)的技術(shù)標準也不完全統(tǒng)一,企業(yè)同一件產(chǎn)品或服務(wù)在不同國家需要重復(fù)認證。此次歐盟建立ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度,一方面是為了提高歐盟域內(nèi)的網(wǎng)絡(luò)安全水平,另一方面也是為了建立統(tǒng)一市場,實現(xiàn)“一次認證,全域通行”,取代各成員國現(xiàn)有的認證體系。
 
  歐盟網(wǎng)絡(luò)安全法草案并未規(guī)定ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度的具體細節(jié),而是建立了一個框架性制度,規(guī)定了認證制度要實現(xiàn)的目標和應(yīng)包含的要素,并授權(quán)ENISA具體負責(zé)建立認證制度。
 
  關(guān)于認證制度的核心條款是草案第45條至第47條。第45條規(guī)定了認證制度要實現(xiàn)的7項安全目標,主要是保障數(shù)據(jù)的保密性、完整性、可獲得性。第46條將認證結(jié)果分為3個等級,分別是基本(basic)、堅實(substantial)、高級(high)。第47條規(guī)定了認證制度應(yīng)包含的要素,分別為:(a)涵蓋的ICT產(chǎn)品和服務(wù)類型;(b)通過認證應(yīng)滿足的網(wǎng)絡(luò)安全標準細節(jié);(c)安全等級;(d)具體的認證評估方法;(e)申請人為獲得認證需提供的信息;(f)標志的使用規(guī)范;(g)持續(xù)合規(guī)的要求;(h)維持、擴展或縮小認證范圍的條件;(i)獲認證的ICT產(chǎn)品或服務(wù)不符合規(guī)定的處理方法;(j)之前未發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞的處理方法;(k)合格評定機構(gòu)保留記錄的義務(wù);(l)確認成員國針對同類ICT產(chǎn)品或服務(wù)實施網(wǎng)絡(luò)安全認證的規(guī)范;(m)認證證書的內(nèi)容。
 
  歐盟網(wǎng)絡(luò)安全法草案有三點內(nèi)容值得注意。其一,根據(jù)立法草案內(nèi)容看,似乎歐盟不會公布一份集中統(tǒng)一的需進行網(wǎng)絡(luò)安全認證的ICT產(chǎn)品和服務(wù)清單,而是要求ENISA根據(jù)實際需要或建議,就某一類ICT產(chǎn)品和服務(wù)逐次、分別建立網(wǎng)絡(luò)安全認證制度。ENISA每完成一類ICT產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全認證制度設(shè)計,就提交給歐盟委員會,由歐盟委員會通過立法予以實施。其二,一旦歐盟層面就某一類ICT產(chǎn)品和服務(wù)建立了網(wǎng)絡(luò)安全認證制度,歐盟成員國國內(nèi)針對該類產(chǎn)品和服務(wù)的同類認證即終止實施。結(jié)合上述第一點,未來可能出現(xiàn)這種情況,即ENISA已經(jīng)建立認證制度的ICT產(chǎn)品和服務(wù)需要去歐盟層面獲得認證,而ENISA尚未建立認證制度的ICT產(chǎn)品和服務(wù)需要去成員國國內(nèi)獲得認證。其三,草案稱ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度屬于“自愿,除非歐盟法律另有規(guī)定”。換言之,歐盟網(wǎng)絡(luò)安全法并未強制所有ICT產(chǎn)品和服務(wù)必須進行網(wǎng)絡(luò)安全認證,但“歐盟法律另有規(guī)定”具體指哪些規(guī)定尚不清楚。
 
  此外,歐盟網(wǎng)絡(luò)安全法草案還創(chuàng)設(shè)了一個“歐盟網(wǎng)絡(luò)安全認證小組”,由各成員國的認證監(jiān)督機構(gòu)組成,負責(zé)協(xié)助歐盟委員會和ENISA做好網(wǎng)絡(luò)安全認證工作,提供咨詢意見和建議。
 
  歐盟層面建立統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認證制度是一個值得關(guān)注的趨勢,可能對我國對歐出口ICT產(chǎn)品和服務(wù)產(chǎn)生潛在的重大影響。首先,今年以來,歐盟有對投資歐洲先進技術(shù)和ICT領(lǐng)域的外來資本加嚴審查的趨勢,這種加嚴的態(tài)度是否會向外來產(chǎn)品和服務(wù)擴展仍有待觀察。其次,歐盟沒有明確指出將針對哪些ICT產(chǎn)品和服務(wù)建立網(wǎng)絡(luò)安全認證制度,未來還可能出現(xiàn)有些產(chǎn)品和服務(wù)需要獲得歐盟認證,有些產(chǎn)品和服務(wù)需要獲得成員國認證的情況,在制度上造成了不穩(wěn)定和不可預(yù)期性。再次,該制度也有可能為我國企業(yè)帶來好處,即一次性獲得在歐盟全域有效的認證結(jié)果,降低企業(yè)逐個國家獲取認證的經(jīng)營成本。(工業(yè)和信息化部國際經(jīng)濟技術(shù)合作中心  徐程錦)
 
  轉(zhuǎn)自:人民郵電報
 

  【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。

延伸閱讀

  • 2017年全球服務(wù)器出貨量和收入增長3.1%和10.4%

    2017年全球服務(wù)器出貨量和收入增長3.1%和10.4%

    全球領(lǐng)先的信息技術(shù)研究和顧問公司Gartner的數(shù)據(jù)顯示,全球服務(wù)器市場在2017年持續(xù)增長。2017年第四季度全球服務(wù)器收入增長25 7%,同時出貨量同比增長8 8%。
    2018-03-22
  • 東盟正成為中國服務(wù)業(yè)“一帶一路”投資重點

    東盟正成為中國服務(wù)業(yè)“一帶一路”投資重點

    服務(wù)業(yè)不僅成為中國經(jīng)濟發(fā)展的主導(dǎo)產(chǎn)業(yè),也是“走出去”的重點產(chǎn)業(yè),尤其是東盟地區(qū),在“一帶一路”倡議的推動下,服務(wù)業(yè)對外直接投資實現(xiàn)快速增長,發(fā)展前景廣闊。
    2018-05-31
  • 世貿(mào)組織報告看好服務(wù)貿(mào)易發(fā)展

    世貿(mào)組織報告看好服務(wù)貿(mào)易發(fā)展

    世界貿(mào)易組織9日在日內(nèi)瓦發(fā)布的《2019世界貿(mào)易報告》中指出,服務(wù)貿(mào)易已成為國際貿(mào)易中最具活力的組成部分,其作用在未來幾十年里還將繼續(xù)增強。
    2019-10-17
  • 世貿(mào)組織報告:全球服務(wù)貿(mào)易一季度增長乏力

    世貿(mào)組織報告:全球服務(wù)貿(mào)易一季度增長乏力

    最新一期《服務(wù)貿(mào)易晴雨表》顯示,反映去年年底至今年第一季度全球服務(wù)貿(mào)易發(fā)展趨勢的2019年12月全球服務(wù)貿(mào)易景氣指數(shù)為96 8,低于去年9月的98 4。
    2020-03-16
?

微信公眾號

版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502035964