歐盟委員會于10月4日公布了關于“修改ENISA授權立法和建立信息通信技術產品和服務網絡安全認證制度”的立法草案。該法案自稱“網絡安全法”(CybersecurityAct)。
歐盟網絡安全法的實質是歐盟網絡和信息安全局(ENISA)的授權法,為2004年成立的ENISA賦予新職能,將其改建為歐盟的“網絡安全局”,負責在歐盟層面制定和執行網絡安全政策、提升網絡安全能力、搜集網絡安全信息、構建統一的網絡安全產品和服務市場,以及研發和創新等工作。根據該法授權,ENISA的一項重要任務就是建立歐盟層面的信息通信技術產品和服務(ICT產品和服務)網絡安全認證制度。
目前,歐盟沒有歐盟層面統一的ICT產品和服務網絡安全認證制度,主要依靠各成員國自行組織認證。有的成員國有相關認證制度,有的成員國沒有,并且認證所依據的技術標準也不完全統一,企業同一件產品或服務在不同國家需要重復認證。此次歐盟建立ICT產品和服務網絡安全認證制度,一方面是為了提高歐盟域內的網絡安全水平,另一方面也是為了建立統一市場,實現“一次認證,全域通行”,取代各成員國現有的認證體系。
歐盟網絡安全法草案并未規定ICT產品和服務網絡安全認證制度的具體細節,而是建立了一個框架性制度,規定了認證制度要實現的目標和應包含的要素,并授權ENISA具體負責建立認證制度。
關于認證制度的核心條款是草案第45條至第47條。第45條規定了認證制度要實現的7項安全目標,主要是保障數據的保密性、完整性、可獲得性。第46條將認證結果分為3個等級,分別是基本(basic)、堅實(substantial)、高級(high)。第47條規定了認證制度應包含的要素,分別為:(a)涵蓋的ICT產品和服務類型;(b)通過認證應滿足的網絡安全標準細節;(c)安全等級;(d)具體的認證評估方法;(e)申請人為獲得認證需提供的信息;(f)標志的使用規范;(g)持續合規的要求;(h)維持、擴展或縮小認證范圍的條件;(i)獲認證的ICT產品或服務不符合規定的處理方法;(j)之前未發現的網絡安全漏洞的處理方法;(k)合格評定機構保留記錄的義務;(l)確認成員國針對同類ICT產品或服務實施網絡安全認證的規范;(m)認證證書的內容。
歐盟網絡安全法草案有三點內容值得注意。其一,根據立法草案內容看,似乎歐盟不會公布一份集中統一的需進行網絡安全認證的ICT產品和服務清單,而是要求ENISA根據實際需要或建議,就某一類ICT產品和服務逐次、分別建立網絡安全認證制度。ENISA每完成一類ICT產品和服務的網絡安全認證制度設計,就提交給歐盟委員會,由歐盟委員會通過立法予以實施。其二,一旦歐盟層面就某一類ICT產品和服務建立了網絡安全認證制度,歐盟成員國國內針對該類產品和服務的同類認證即終止實施。結合上述第一點,未來可能出現這種情況,即ENISA已經建立認證制度的ICT產品和服務需要去歐盟層面獲得認證,而ENISA尚未建立認證制度的ICT產品和服務需要去成員國國內獲得認證。其三,草案稱ICT產品和服務網絡安全認證制度屬于“自愿,除非歐盟法律另有規定”。換言之,歐盟網絡安全法并未強制所有ICT產品和服務必須進行網絡安全認證,但“歐盟法律另有規定”具體指哪些規定尚不清楚。
此外,歐盟網絡安全法草案還創設了一個“歐盟網絡安全認證小組”,由各成員國的認證監督機構組成,負責協助歐盟委員會和ENISA做好網絡安全認證工作,提供咨詢意見和建議。
歐盟層面建立統一的ICT產品和服務網絡安全認證制度是一個值得關注的趨勢,可能對我國對歐出口ICT產品和服務產生潛在的重大影響。首先,今年以來,歐盟有對投資歐洲先進技術和ICT領域的外來資本加嚴審查的趨勢,這種加嚴的態度是否會向外來產品和服務擴展仍有待觀察。其次,歐盟沒有明確指出將針對哪些ICT產品和服務建立網絡安全認證制度,未來還可能出現有些產品和服務需要獲得歐盟認證,有些產品和服務需要獲得成員國認證的情況,在制度上造成了不穩定和不可預期性。再次,該制度也有可能為我國企業帶來好處,即一次性獲得在歐盟全域有效的認證結果,降低企業逐個國家獲取認證的經營成本。(工業和信息化部國際經濟技術合作中心 徐程錦)
轉自:人民郵電報
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
上半年汽車工業多項經濟指標創新高
