欧洲网络安全认证联盟滚动工作计划

欧洲人委员会 布鲁塞尔，7.2.2024 SWD(2024)38决赛 委员会工作人员工作文件欧洲网络安全认证联盟滚动工作计划 ENEN 1.Introduction 本员工工作文件(以下简称“社署”)符合 网络安全法案1(以下简称“CSA”)根据第47(1)条规定，“委员会应公布 欧洲网络安全认证联盟滚动工作计划(“联盟滚动 工作方案）“更具体地说，”应确定未来的战略重点欧洲网络安全认证计划”(本社署第2节)。 此外，CSA第47（2）条要求“联盟滚动工作计划应在特别包括ICT产品、ICT服务和ICT流程或其类别的清单能够从被纳入欧洲网络安全的范围中受益 认证计划”(本社署第3节)。 更广泛地说，于2019年6月27日生效的CSA在其第三章中规定了欧洲网络安全认证框架(以下简称“框架”) 建立自愿的欧洲网络安全认证计划。这些计划旨在确保信息和通信技术的网络安全水平 (以下简称“ICT”)欧盟的产品、服务和流程(以下简称“ 联盟“)，以及减少内部市场的分裂。 这第一个联盟滚动工作计划(以下简称“URWP”)考虑到了网络 欧盟联合立法者达成临时政治协议的弹性法案2（以下简称“CRA”） 20233年11月30日达成的协议。CRA将引入强制性水平网络安全具有数字元素的产品的基本要求，包括软件和连接 设备，在内部市场和整个生命周期中可用。它规定适当的合格评定方法，包括第三方合格评定， 取决于相关的网络安全风险水平。CRA预见了特定的相互作用欧洲网络安全认证计划及其实施将得到促进 通过标准化。 此外，即将修订的法规（EU）No910/2014建立了一个框架欧洲数字身份(以下简称“欧洲数字身份条例”)4预见了 欧洲数字身份钱包的未来欧洲网络安全认证。认证 在欧盟网络团结法案5的提案中也发挥了作用，该法案提出了托管安全服务的认证是受信任的选择标准之一 构成欧盟网络安全储备的提供商(见本社署第3节)。据此， 委员会还于2023年4月18日提出了对CSA的有针对性的修正案，以使采用“管理安全服务”的欧洲网络安全认证方案6。 1欧洲议会和理事会2019年4月17日关于ENISA的条例(EU)2019/881( 欧洲联盟网络安全机构)和信息和通信技术网络安全 认证和废除条例（欧盟）第526/2013号（网络安全法）。 关于欧洲议会和理事会横向网络安全条例的提案 具有数字元素的产品的要求和修订法规（EU）2019/1020，COM（2022）454最终。 欧洲议会和理事会关于产品横向网络安全要求的规定 具有数字元素并修订法规（EU）2019/1020。最终文本由常设机构认可代表委员会于20.12.2023，2022/0272（COD）。 4欧洲议会和理事会关于修订法规（EU）No910/2014的法规的提案 关于建立欧洲数字身份框架，COM(2021)281final.A临时政治欧盟联合立法者于2023年6月29日达成协议。 5欧洲议会和理事会条例的提案，规定了加强 联盟的团结和能力，以检测，准备和应对网络安全威胁和事件， COM（2023）209最终。 6欧洲议会和理事会修订条例（EU）2019/881的条例提案 关于托管安全服务，COM(2023)208最终。 提到网络安全认证的其他新立法举措 证明符合网络安全要求或促进信任可能会影响 从长远来看，未来的欧洲网络安全认证。这包括即将到来的制定人工智能协调规则的法规(以下简称“人工 情报法“）7，欧盟共同立法者最近分别达成了临时协议政治协议。此外，给欧洲议会的联合来文和 欧盟网络防御政策委员会8呼吁探索欧盟层面的发展网络安全行业和私营公司的网络安全认证计划。 关于芯片法案9的(EU)2023/1781条例提到需要发展，网络安全要求方面的认证程序，并呼吁业界 与联盟一起为具有潜力的特定部门和技术制定此类程序 高社会影响。最后，关于高共同水平措施的指令(EU)2022/2555 整个联盟的网络安全(“NIS2”)10指的是需要必要和使用特定ICT产品、ICT服务和ICT流程的重要实体通过欧洲网络安全认证计划认证。 第一个URWP指出了欧洲网络安全认证计划所在的领域由于立法发展以及未来需要反思的领域而设想 网络安全认证，这最终可能导致对新方案的请求必要和适当。此外，它概述了在 准备任何欧洲网络安全认证计划。为此，上述-提到的立法举措已被考虑在内。特别是，任何未来欧洲网络安全认证计划应充分考虑基本要求 和CRA的规则以及相关的标准开发工作。同样，任何未来与欧洲数字身份钱包相关的方案应建立在标准和技术上 根据欧洲数字身份法规制定的规范。 根据CSA第47（4）条，在起草本URWP时，欧洲委员会 (以下简称“委员会”)适当考虑了欧盟发表的意见11 网络安全认证组（以下简称“ECCG”）和利益相关者网络安全 CertificationGroup(下称“SCCG”)12.Overall,theopinionoftheECCGandtheSCCG 支持URWP草案在选择战略重点方面采取的方法。 他们强调了框架下计划之间协调一致的重要性，风险- 7关于欧洲议会和理事会条例的提案，规定了关于 人工智能（人工智能法案）和修改某些联盟立法法案，COM(2021)206 欧盟共同立法者于2023年12月9日达成临时政治协议。 8给欧洲议会和理事会的联合通讯“欧盟网络防御政策”，JOIN（2022） 49最终。 9欧洲议会和理事会2023年9月13日第(EU)2023/1781号条例 加强欧洲半导体生态系统和修订法规的措施框架(欧盟)2021/694（芯片法）。 10欧洲议会和理事会2022年12月14日关于措施的条例(EU)2022/2555 为了在整个联盟中实现高水平的网络安全，修订法规(EU)No910/2014和 指令（EU）2018/1972，并废除指令（EU）2016/1148（NIS2指令） ECCG网站：https://digital- strategy.ec.europa.eu/en/policies/网络安全认证框架。SCCG网站可用at:https://digital-strategy.ec.europa.eu/en/library/利益相关者-网络安全-certification- 1g2rEoCuCGp是根据《网络安全法》(CSA)第62条成立的，旨在帮助确保 CSA的实施。它由成员国的国家网络安全认证机构组成。 SCCG是根据CSA第22条成立的，目的是协助欧盟委员会准备联盟的滚动工作计划，并在网络安全认证领域提供战略建议。它是由来自学术机构、消费者组织、合格评定机构的50名成员组成，标准发展组织、公司和行业协会。 基于方法，方案的可组合性，以及使用元素的可能性未来的现有计划。意见表明，未来可能的计划可以 特别考虑物联网(IoT)产品和工业自动化 控制系统(IACS)。作为未来可能思考的领域，SCCG的意见还提到了智慧城市数据系统、托管安全服务、身份和信任服务整个欧盟和无人机指挥系统。意见还强调了 任何未来的认证计划都应考虑到相关的欧盟立法，规定与已经存在或正在开发的方案保持一致，并密切执行与利益相关者的合作。 根据CSA第48（2）条，委员会已经发出了三项请求欧盟网络安全机构（ENISA）开发候选网络安全 认证方案：欧洲共同标准方案(EUCC)，t他的欧洲计划 关于云计算服务（EUCS）和5G网络上的欧洲计划13。没有已包含在URWP中，根据当前市场，这些请求是合理的 成员国和欧盟一级的发展以及最近的政策和立法发展 （另见CSA演奏会84）。2024年1月31日通过的EUCC是第一个通过的框架下的欧洲网络安全认证计划14。 2.未来欧洲网络安全认证计划的战略重点 根据CSA的规定和与利益相关者的磋商，并考虑 最近的立法和市场发展，在进行时需要考虑的一系列关键方面网络安全认证被确定为框架，以充分发挥其潜力和 实现其目标。 2.1.标准化 国际和欧洲标准的使用将对吸收产生直接的积极影响欧洲网络安全认证计划，在欧盟和全球。因此，它们在框架内的使用，以及它们在与 相关的欧洲标准化组织和其他相关组织，是一个战略优先级。 在这种情况下，ICT标准化滚动计划15和年度联盟工作欧洲标准化计划16是适当的工具，表明需要 必要时采取与标准化相关的行动。 在框架的背景下，可用于表示横向安全的标准要求和部门要求，以及与评估相关的标准 方法论尤其重要。标准可以进一步维持欧盟的要求 13EUCS和5G网络上的候选方案正在准备中。 14委员会实施条例(欧盟).../...31.1.2024规定了适用 欧洲议会和理事会条例(EU)2019/881关于通过欧洲 基于通用标准的网络安全认证计划(EUCC)，C(2024)560最终。 15《ICT标准化滚动计划》由欧盟委员会与 关于ICT标准化的欧洲多利益相关者平台（MSP），每年更新一次。 欧洲议会和欧洲理事会第1025/2012号条例第8条 标准化，修订理事会指令89/686/EEC和93/15/EEC以及指令94/9/EC、94/25/EC， 欧洲的95/16/EC、97/23/EC、98/34/EC、2004/22/EC、2007/23/EC、2009/23/EC和2009/ 105/EC 议会和理事会以及废除理事会第87/95/EEC号决定和第1673/2006/EC号决定欧洲议会和理事会。 和成员国的政策以及其他相关的监管要求 网络安全认证，例如个人数据和安全，并提供与网络安全的链接对依赖于统一标准的政策领域的认证。因此，重要的是 确保欧洲网络安全认证和 正在制定各种标准，以支持联盟协调立法。 特别是，为支持实施CRA而制定的标准和欧洲数字身份法规应考虑任何未来的欧洲 网络安全认证计划。未来的CRA标准将建立在先前相关的基础上标准化工作，特别是关于2022/30授权条例的工作 无线电设备指令(以下简称“红色授权条例”)1718。 标准也是连贯表达保证水平概念的关键要素。 根据CSA的说法，网络安全认证计划可能涵盖多达三个保证水平(基本、实质性和高度)捕获不同级别的风险并涉及增量评估的严格程度和深度，以及其不同的类型(从自我 对第三方符合性认证的评估)。最后，进一步标准化和关于评估活动的指导可以促进一致性的协调 整个欧盟的评估方法。 2.2.设计安全性、生命周期安全性和默认安全性 通常，与安全相关的活动仅在特定时间点进行，这导致大量的安全问题发现太晚或根本没有发现19.更有效的 方法是在整个开发生命周期中集成这些与安全相关的活动，以帮助及早发现和减少漏洞，有效地在(安全设计 和默认值）。 该框架鼓励组织，制造商或供应商参与设计 并开发ICT产品、服务或流程，以实施适当的措施 在整个生命周期中设计和开发的最初阶段，以保护安全这些产品、服务和流程的最高程度。 设计方法将确保预期并最小化网络攻击的影响。作为 整个产品生命周期方法的一部分，漏洞处理和披露20应该也应根据框架考虑。本着这种精神，安全 出现了开发生命周期(SDL)方法(请参阅下面的本SWD第3节)。 17欧盟委员会2021年10月29日第2022/30号授权条例（EU），补充指令2014/53/EU 欧洲议会和理事会关于适用所提到的基本要求至该指令第3(3)条(d)、(e)和(f)点。 18CEN和CENELEC通过横向联合技术委员会CEN解决网络安全需求- CENELEC/JTC13“网络安全和数据保护”，并与ENISA在欧洲认证计划，并与委员会在网络安全相关的框架内 无线电设备指令下的标准化请求。 19欧洲议会法规提案随附的委员会工作人员工作文件 以及理事会对具有数字元素的产品的横向网络安全要求和修改 法规（EU）2019/1020：影响评估报告，SWD（2022）282最终。 20如欧洲议会和理事会14号指令(EU)2022/2055第12条