关于采用基于欧洲通用标准的网络安全认证计划的实施法规

欧洲人委员会 布鲁塞尔，31.1. 2024 C(2024)560决赛 委员会执行条例（欧盟）.../... of31.1.2024 制定适用欧洲法规(EU)2019/881的规则议会和理事会关于通过欧洲共同 基于标准的网络安全认证计划(EUCC) （与EEA相关的文本） ENEN 委员会执行条例（欧盟）.../... of31.1.2024 制定适用欧洲法规(EU)2019/881的规则议会和理事会关于通过欧洲共同 基于标准的网络安全认证计划(EUCC) （与EEA相关的文本） 欧洲委员会, 考虑到《欧洲联盟运作条约》， 考虑到欧洲议会和理事会的法规（EU）2019/881 2019年4月17日关于ENISA（欧盟网络安全机构）和信息和通信技术网络安全认证和废除法规 （EU）526/2013（网络安全法）1，特别是其中第49（7）条， Whereas: (1)本条例规定了角色、规则和义务，以及 欧洲基于共同标准的网络安全认证计划(EUCC) 根据欧洲网络安全认证框架 法规（EU）2019/881。EUCC建立在相互承认协议的基础上高级官员信息技术安全证书(“MRA”) 使用通用标准的集团信息系统安全2(“SOG-IS”)，包括集团的程序和文件。 (2)Theschemeshouldbebasedonestablishedinternationalstandards.CommonCriteria 是信息安全评估的国际标准，例如， 作为ISO/IEC15408信息安全、网络安全和隐私保护- IT安全的评估标准。它基于第三方评估和设想七个评估保证级别(“EAL”)。通用标准附有 通用评估方法，例如，发布为ISO/IEC18045- 信息安全、网络安全和隐私保护-IT评估标准安全-IT安全评估的方法。规范和文档 适用本规例的条文可能与公开可用的标准有关反映本法规认证中使用的标准，如通用 信息技术安全评估标准和通用方法 (3)信EU息CC技使术用安通全用评标估准。的脆弱性评估系列(AVA_VAN)，组件1至5。这五个组件提供了所有主要的决定因素和 1OJL151,7.6.2019,p.15. 2信息技术安全评估证书互认协议，版本 2010年1月的3.0，可在sogis.eu上获得，由高级官员集团信息系统批准欧洲委员会的安全性，以回应理事会第95/144/EC号建议的第3点 1995年4月7日，关于通用信息技术安全评估标准(OJL93，26.4.1995，第 27–28). 用于分析ICT产品漏洞的依赖项。作为组件 与本条例中的保证水平相对应，它们允许消息灵通的基于对安全要求进行的评估，选择保证 以及与ICT产品的预期用途相关的风险。申请人 EUCC证书应提供与预期用途相关的文档 ICT产品以及与此类使用相关的风险水平的分析使合格评估机构能够评估保证的适宜性 选定的级别。评估和认证活动由 同一合格评定机构，申请人应提交所要求的信息只有一次。 (4)技术领域是一个参考框架，涵盖一组ICT产品，这些产品具有特定和类似的安全功能，可以减轻攻击，其中 特性对于给定的保证级别是常见的。技术领域在最先进的文档的具体安全要求以及额外的 适用于ICT认证的评估方法、技术和工具 本技术领域涵盖的产品。因此，技术领域也促进涵盖的ICT产品评估的协调。两个技术域目前广泛用于认证级别AVA_VAN.4和 AVA_VAN.5。第一个技术领域是“智能卡和类似设备” 技术领域，其中所需安全功能的重要部分 依赖于特定的、定制的和通常可分离的硬件元素(例如智能卡硬件,集成电路,智能卡复合产品,可信平台 可信计算或数字行驶记录仪卡中使用的模块)。第二个技术领域是“带安全盒的硬件设备”，其中重要 所需安全功能的部分取决于硬件物理 信封（称为“安全箱”），旨在抵抗直接攻击，例如支付终端,行车记录仪,智能电表,门禁终端 和硬件安全模块)。 (5)申请认证时，申请人应说明其选择理由对条例第51条规定的目标的保证水平 (EU)2019/881，以及从安全目录中选择组件通用中包含的功能要求和安全保证要求 标准。认证机构应评估所选保证的适当性 水平，并确保所选水平与相关风险水平相称 ICT产品的预期用途。 (6)根据通用标准，认证是针对安全目标进行的包含ICT产品的安全问题以及安全性的定义解决安全问题的目标。安全问题提供了有关 ICT产品的预期用途以及与此类用途相关的风险。精选集的安全需求响应安全问题和安全目标 ICT产品。 (7)保护配置文件是预先确定共同标准的有效手段 适用于特定类别的ICT产品，因此也是一个基本要素在保护配置文件所涵盖的ICT产品认证过程中。A 保护配置文件用于评估属于给定ICT的未来安全目标该保护配置文件解决的产品类别。他们进一步简化和提高ICT产品认证过程的效率，并帮助用户 正确有效地指定ICT产品的功能。保护配置文件 因此，应被视为导致 ICT产品认证。 (8)为了使它们在信通技术进程中发挥作用，支持发展和交付认证的ICT产品，保护配置文件本身应该能够独立于特定ICT产品认证 因此，必须至少应用相同的级别 对安全目标的保护配置文件进行审查，以确保高水平的网络安全。保护配置文件应与 相关的ICT产品，仅通过应用通用标准和通用评估方法的保护配置文件(APE)保证类，其中 适用于保护配置文件(ACE)的配置。由于它们的重要性和作为ICT产品认证基准的敏感角色，它们应该 仅由公共机构或以前收到的认证机构认证国家网络安全认证对特定保护概况的批准 权威。由于它们在保证级别“高”认证中的基本作用，在特别是在技术领域之外，应将保护配置文件开发为 应得到欧洲网络安全机构认可的最先进的文件认证集团。 (9)经认证的保护配置文件应包含在EUCC符合性和国家网络安全认证机构的合规性监控。在 用于评估ICT产品的方法的方法，工具和技能 可用于特定的认证保护配置文件，技术域可能基于在那些特定的保护配置文件上。 (10)为实现对ICT认证产品的高度信任和保证，自本法规不允许评估。只有第三方符合性 应允许ITSEF和认证机构进行评估。 (11)SOG-IS社区为 通用标准和通用评价方法的应用 认证，特别是技术所追求的保证水平“高” 域"智能卡和类似设备"和"具有安全性的硬件设备 箱。“。在EUCC方案中重复使用此类支持文档可确保从国家实施的SOG-IS计划平稳过渡到 统一的EUCC方案。因此，统一的评估方法本法规应包括所有认证活动的一般相关性。 此外，欧盟委员会应该能够要求欧洲网络安全认证小组将采纳认可和推荐申请的意见 最先进的文件中规定的评估方法 EUCC计划下的ICT产品或保护概况的认证。这 因此，法规在附件I中列出了用于评估的最新文件合格评定机构开展的活动。欧洲网络安全 认证组应认可和维护最先进的文件。 the-artdocumentsshouldbeusedincertification.Onlyinexceptionalandduly 合理的情况下，合格评定机构不得在特定情况下使用它们条件，特别是国家网络安全认证的批准 权威。 (12)AVA_VAN4级或5级的ICT产品认证应仅在特定条件和特定评估方法可用的地方。The特定的评估方法可能包含在最新的文件中 与技术领域相关，或在作为状态采用的特定保护配置文件中与相关产品类别相关的艺术文档。仅在 特殊和正当的情况下，这些保证级别的认证应该是可能，但须遵守特定条件，特别是经国家批准 网络安全认证机构，包括适用的评估 methodology.SuchexceptionalanddulyjustifiedcasesmayexistwhereUnionor 国家立法要求ICT产品认证为AVA_VAN4级或5级。同样，在特殊和正当的情况下，可以对保护概况进行认证在不应用相关最新文件的情况下，具体 条件，特别是国家网络安全认证的批准权限，包括适用的评估方法。 (13)根据EUCC使用的标记和标签旨在明显地证明 认证的ICT产品对用户的可信度，并使他们能够 在购买ICT产品时做出明智的选择。标记和标签的使用应还必须遵守ISO/IEC17065中规定的规则和条件，其中适用，ISO/IEC17030与适用指南。 (14)认证机构应决定证书的有效期 考虑到有关ICT产品的生命周期。有效期 不应超过5年。国家网络安全认证机构应开展工作关于统一联盟的持续时间有效性。 （15）在缩小现有EUCC证书的范围的情况下，证书应为撤回，并应颁发具有新范围的新证书，以确保 用户清楚地了解证书的当前范围和保证级别给定的ICT产品。 (16)保护概况的认证与ICT产品的认证不同，因为它涉及到ICT流程。由于保护概况涵盖了一类ICT产品，因此其评估和认证不能在单一ICT产品的基础上完成。作为保护配置文件统一了有关类别的一般安全要求 ICT产品，独立于ICT产品由其供应商的表现， EUCC保护档案证书的有效期原则上应： 至少涵盖5年，并且可以延长到保护的使用寿命 profile. (17)合格评定机构被定义为执行合格评定的机构 评估活动，包括校准、测试、认证和检查。在为了确保高质量的服务，本法规规定 一方面是活动，另一方面是认证和检查活动，应由彼此独立运作的实体执行，即 信息技术安全评估设施(ITSEF)和认证 机构，分别。两种类型的合格评定机构都应得到认可在某些情况下，授权。 （18）认证机构应根据ISO/IEC17065标准进行认证 由国家认证机构为保证级别“实质性”和“高”。在除了符合法规(EU)2019/881的认证外， 与法规(EC)No765/2008相结合，合格评定机构应满足特定要求，以保证他们的技术能力 在EUCC的保证级别“高”下评估网络安全要求，由“授权”确认。为了支持授权过程， 应制定相关的最先进的文件，并由ENISA发布在欧洲网络安全认证小组的认可之后。 (19)ITSEF的技术能力应通过以下认证进行评估测试实验室符合ISO/IEC17025和补充 ISO/IEC23532-1，用于与以下项目相关的全套评估活动 保证级别，并在ISO/IEC18045中与ISO/IEC15408一起指定。认证机构和ITSEF都应建立和维护 适用于ISO/IEC人员的适当能力管理体系19896-1关于能力的要素和水平以及评估能力。对于知识、技能、经验和教育水平， 评估人员的适用要求应来自ISO/IEC19896-3。处理偏离这种能力的等效规定和措施 管理系统应该被证明，符合系统的目标。 (20)为了获得授权，ITSEF应证明其确定 没有已知的漏洞，正确和一致的实施状态- 相关特定技术的艺术安全功能和 针对ICT产品对熟练攻击者的抵抗力。此外，对于授权在“智能卡和类似设备”的技术领域，ITSEF还应 展示评估活动所需的技术能力，以及 “ITSEF对安全评估的最低要求”中定义的相关任务根据通用标准，智能卡和类似设备的3个支持文件。对于技术领域“带安全盒的硬件设备”的授权， 此外，ITSEF还应证明最低技术要求 在硬件设备上执行评估活动和相关任务所必需的 根据ECCG的建议，带有安全箱。在最低限度的情况下要求，ITSEF应该能够进行不同类型的攻击 在“对带有安全盒的硬件设备的攻击潜力的应用”中列出共同标准下的支持文件。这些能力包括 评估人员的知识和技能以及所需的设备和评估方法确定和评估不同类型的攻击。 (21)国家网络安全认证机构应监测 认证机构、ITSEF和证书持有人及其义务 源于本法规和法规（EU）2019/881。国家网络安全认证机构应使用任何适当的信息来源为此，包括从认证过程参与者和 自己的调查。 （22）认证机构应与相关市场监管机构合作，并考虑到可能与ICT产品相关的任何漏洞信息他们已签发证书。认证机构应监督 他们已经认证的保护配置文件，以确定是否设置了安全要求出去一类ICT产品继续反映了最新的发展 威胁景观。 (23)为支持合规监控，国家网络安全认证当局应