欧盟网络安全立法在即

来源：进出口服务网 | 时间：2017/12/6 9:00:52 | 阅读次数：

发布单位：中华人民共和国国家发展和改革委员会

发布人：
小杨

　原标题：欧盟网络安全立法在即，应引起我国企业高度关注

　　ICT是Information andCommunication Technology的英文缩写，指信息和通信技术，它是电信服务、信息服务、IT?服务及应用的有机结合。ICT是一个比较宽泛的概念，可广泛地概括为：以计算机为核心的，包括互联网、多媒体、IT专业服务等业务在内的全面信息服务。近年来，ICT凭借网络飞速发展，已经渗透到社会生活的各个领域。ICT全面反映了支撑信息社会发展的通信方式，同时也反映了电信在信息时代自身职能和使命的演进。作为一种技术，ICT不仅可提供基于宽带、高速通信网的多种业务，不仅可实现信息的传递和共享，而且它还是一种通用的智能工具。未来，随着车联网、远程医疗和工业自动化控制系统（IACS）等要求高网络安全水平的技术被越来越广泛地应用，ICT网络安全认证变得尤为重要。各国也开始对ICT的网络安全问题给予高度关注，有些国家（地区）甚至已上升到国家安全的角度去管理和规范基于ICT的业务和服务。

　　欧盟欲针对网络安全实施认证制度

　　欧盟委员会近期采取的一系列针对ICT的新设管理机构和立法计划已透露了其欲加强ICT管理的动意。

　　前不久，欧盟公布了关于“修改欧盟网络和信息安全局（ENISA）授权立法和建立信息通信技术产品和服务网络安全认证制度”的立法草案，即欧盟将针对网络安全立法（Cybersecurity Act）。

　　具体做法为：欧盟欲对网络安全建立认证制度，设立独立授权机构，针对网络产品和技术的硬件、软件进行分析，如果满足要求，就认证该产品无漏洞或后门。

　　从立法草案中看出欧盟网络安全法的两个关键要素为：欧盟网络和信息安全局今后将作为永久性欧洲网络安全管理机构；欧盟网络和信息安全局执行网络安全管控的主要手段是通过对泛欧洲的网络产品建立认证体系。

　　欧盟网络和信息安全局

　　欧盟网络和信息安全局（ENISA）是一个独立的政府机构，成立于2004年，对欧盟委员会及其欧盟成员国负责，主要从事三个方面的活动：提供建议；支持政策制定和实施；协调欧盟各成员国与从事信息安全的产业相互合作。其首要目标是强化欧盟各成员国和工商企业间的协调，以提高应对网络和信息安全问题的能力。

　　其主要任务是：收集适当的信息，分析当前和潜在的互联网和信息安全方面存在的问题，并把分析结果提供给各成员国和欧洲理事会。

　　新公布的欧盟“网络安全法”又赋予了ENISA新的职能：原机构将更名为“欧盟网络安全局”，负责在欧盟层面制定和执行网络安全政策、提升网络安全能力、搜集网络安全信息、构建统一的网络安全产品和服务市场，以及研发和创新等工作。

　　根据该法授权，ENISA的一项重要任务就是建立欧盟层面的信息通信技术产品和服务（ICT产品和服务）网络安全认证制度。

　　欧盟ICT认证制度

　　欧盟立法草案提及的“建立ICT产品和服务网络安全认证制度”，一方面是为了提高欧盟域内的网络安全水平，另一方面也是为了建立统一的欧盟网络市场，实现“一次认证，全域通行”，取代各成员国现有的认证体系。

　　认证制度的核心条款是草案第45条至第47条。

　　第45条规定了认证制度要实现的7项安全目标，主要是保障数据的保密性、完整性、可获得性。第46条将认证结果分为3个等级，分别是基本（basic）、坚实（substantial）、高级（high）。

　　第47条规定了认证制度应包含的13个要素，分别为：（a）涵盖的ICT产品和服务类型；（b）通过认证应满足的网络安全标准细节；（c）安全等级；（d）具体的认证评估方法；（e）申请人为获得认证需提供的信息；（f）标志的使用规范；（g）持续合规的要求；（h）维持、扩展或缩小认证范围的条件；（i）获认证的ICT产品或服务不符合规定的处理方法；（j）之前未发现的网络安全漏洞的处理方法；（k）合格评定机构保留记录的义务；（l）确认成员国针对同类ICT产品或服务实施网络安全认证的规范；（m）认证证书的内容。

　　欧盟网络安全法草案值得注意的三点内容

　　1. 欧盟不会公布一份集中需要进行网络安全认证的ICT产品和服务清单，而是要求ENISA根据实际需要或建议，就某一类ICT产品和服务逐次、分别建立网络安全认证制度。ENISA每完成一类ICT产品和服务的网络安全认证制度设计，就会提交给欧盟委员会，由欧盟委员会通过立法予以实施。

　　2. 一旦欧盟层面就某一类ICT产品和服务建立了网络安全认证制度，欧盟成员国国内针对该类产品和服务的同类认证即终止实施。

　　3. 欧盟网络安全法并未强制所有ICT产品和服务必须进行网络安全认证，但“欧盟法律另有规定”具体指哪些规定尚不清楚。

　　或影响我国出口欧盟的ICT产品和服务

　　今年以来，欧盟有对投资欧洲先进技术和ICT领域的外来资本严加审查的趋势，这种趋严的态度和政策收窄的趋向是否会向外来产品和服务扩展仍有待观察。

　　其次，欧盟没有明确指出将针对哪些ICT产品和服务建立网络安全认证制度，未来还可能出现有些产品和服务需要获得欧盟认证，有些产品和服务需要获得成员国认证的情况，在制度上造成了不稳定和不可预期性。

　　此外，针对网络产品的安全认证过程和手段尚不可知，网络安全又较容易与国家安全关联，形成限制措施的灰色地带，故应予以高度关注。

　　从积极的层面考虑，欧盟的网络安全制度也有可能为我国企业带来好处，即一次性获得在欧盟全域有效的认证结果，降低企业逐个国家获取认证的经营成本。

　　信息来源：机工智库