《歐洲網(wǎng)絡(luò)安全法》于2019年6月27日生效。這一法規(guī)設(shè)定了歐洲網(wǎng)絡(luò)安全局ENISA（European Network and Information Systems Agency）的新任務(wù)，并建立了歐洲網(wǎng)絡(luò)安全認(rèn)證框架。該法規(guī)還為歐洲網(wǎng)絡(luò)和信息系統(tǒng)局提供了永久性授權(quán)，并將其更名為歐盟網(wǎng)絡(luò)安全局（EU Agency for Cybersecurity），同時(shí)賦予了其更大的權(quán)限和更多的資源。

這一法案的許多條款進(jìn)一步支持或加強(qiáng)了“網(wǎng)絡(luò)和信息系統(tǒng)安全性（NIS）指令”的條款。該法案的任務(wù)包括：

◎?yàn)樾畔⒑屯ㄐ偶夹g(shù)（ICT）產(chǎn)品、服務(wù)和流程建立歐盟網(wǎng)絡(luò)安全認(rèn)證框架；

◎要求會(huì)員國指定一個(gè)或多個(gè)國家級(jí)別的網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)；

◎建立評(píng)估機(jī)構(gòu)，以確保該法案的實(shí)施；

◎要求成員國確定違反認(rèn)證和違反歐洲網(wǎng)絡(luò)安全認(rèn)證計(jì)劃的處罰。

《歐洲網(wǎng)絡(luò)安全法》起始條款就為開發(fā)安全認(rèn)證框架的必要性提供了充分的理由。物聯(lián)網(wǎng)設(shè)備以及相關(guān)的ICT產(chǎn)品和服務(wù)在設(shè)計(jì)安全措施上沒有充分內(nèi)置，導(dǎo)致網(wǎng)絡(luò)安全性不足。該法令進(jìn)一步指出，認(rèn)證的有限使用導(dǎo)致提供給個(gè)人、組織和企業(yè)用戶針對(duì)ICT產(chǎn)品、服務(wù)和流程的網(wǎng)絡(luò)安全功能的信息不足，從而破壞了對(duì)數(shù)字解決方案的信任。

ENISA永久授權(quán)

《歐盟網(wǎng)絡(luò)安全法》授予歐盟網(wǎng)絡(luò)安全局永久性的職責(zé)，分配了更多資源和新任務(wù)。ENISA將通過準(zhǔn)備特定認(rèn)證計(jì)劃的技術(shù)基礎(chǔ)，并通過專用網(wǎng)站將認(rèn)證計(jì)劃以及已頒發(fā)的證書告知公眾，從而在建立和維護(hù)歐洲網(wǎng)絡(luò)安全認(rèn)證框架時(shí)發(fā)揮關(guān)鍵作用。ENISA還受命于歐盟國家級(jí)別間的運(yùn)營合作，幫助那些要求其處理網(wǎng)絡(luò)安全事件的歐盟成員國，并在大規(guī)?？缃缇W(wǎng)絡(luò)攻擊和危機(jī)情況下支持歐盟內(nèi)部協(xié)調(diào)。

歐盟網(wǎng)絡(luò)安全認(rèn)證框架

認(rèn)證對(duì)于提高對(duì)歐盟數(shù)字市場關(guān)鍵產(chǎn)品和服務(wù)的信任和安全性起著至關(guān)重要的作用。目前，歐盟存在多種針對(duì)ICT產(chǎn)品的安全認(rèn)證方案，但是由于缺乏適用于歐盟范圍內(nèi)有效網(wǎng)絡(luò)安全證書的通用框架，頒發(fā)的證書嚴(yán)重缺乏統(tǒng)一性。

《歐盟網(wǎng)絡(luò)安全法》第三章提出了網(wǎng)絡(luò)安全認(rèn)證框架，旨在提高歐盟的網(wǎng)絡(luò)安全水平，并建立統(tǒng)一的方法對(duì)ICT產(chǎn)品、服務(wù)和流程進(jìn)行網(wǎng)絡(luò)安全認(rèn)證。通過建立歐盟輪值工作計(jì)劃來尋求統(tǒng)一認(rèn)證，該計(jì)劃確定了ICT產(chǎn)品、服務(wù)和流程認(rèn)證的核心。

授予的認(rèn)證將基于網(wǎng)絡(luò)安全認(rèn)證計(jì)劃，這些計(jì)劃是在歐盟國家層面建立的，適用于特定ICT產(chǎn)品、服務(wù)和流程的認(rèn)證或一致性評(píng)估的一套全面的規(guī)則、技術(shù)要求、標(biāo)準(zhǔn)和程序。在這個(gè)認(rèn)證框架下，將針對(duì)不同類別的ICT產(chǎn)品、流程和服務(wù)創(chuàng)建多種方案。每個(gè)認(rèn)證方案將指定：

◎涵蓋的產(chǎn)品類別；

◎每個(gè)網(wǎng)絡(luò)安全要求（參考標(biāo)準(zhǔn)或技術(shù)規(guī)范）；

◎要求的評(píng)估類型（自我評(píng)估或第三方評(píng)估）；

◎預(yù)期的保證級(jí)別（基本、實(shí)質(zhì)或高級(jí)）。

為了表達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，證書可以有三種安全保證級(jí)別，分別為：基本保證級(jí)別、實(shí)質(zhì)保證級(jí)別、高保證級(jí)別。這些保證級(jí)別與ICT產(chǎn)品、服務(wù)和流程的預(yù)期用途相關(guān)，并且風(fēng)險(xiǎn)級(jí)別與發(fā)生風(fēng)險(xiǎn)的可能性和影響是相對(duì)應(yīng)的。例如，高保證級(jí)別就意味著認(rèn)證產(chǎn)品已通過最高等級(jí)的安全性測試。由此產(chǎn)生的證書將在所有歐盟成員國中得到認(rèn)可，可以使企業(yè)更容易進(jìn)行跨境貿(mào)易，并使消費(fèi)者更容易理解產(chǎn)品或服務(wù)的安全性。

認(rèn)證框架實(shí)施的管理將由兩個(gè)專家小組進(jìn)行指導(dǎo)，包括由國家網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)的代表組成的歐洲網(wǎng)絡(luò)安全認(rèn)證組（ECCG），以及利益相關(guān)者網(wǎng)絡(luò)安全認(rèn)證小組（SCCG）。SCCG由所有利益相關(guān)者指定的代表組成。這兩個(gè)專家小組都將向歐洲委員會(huì)提供有關(guān)網(wǎng)絡(luò)安全認(rèn)證框架的建議，為ENISA提供有關(guān)認(rèn)證和標(biāo)準(zhǔn)化的建議，并為歐盟提供有關(guān)認(rèn)證計(jì)劃的輪值工作程序。該法案生效后，歐洲委員會(huì)向利益相關(guān)者發(fā)出加入網(wǎng)絡(luò)安全認(rèn)證小組（SCCG）的邀請(qǐng)，并建議私營部門和組織申請(qǐng)加入SCCG，通過成為SCCG成員可以更加了解情況，以保護(hù)他們自己的利益。

委員會(huì)還將制定“歐洲網(wǎng)絡(luò)安全認(rèn)證聯(lián)盟輪值工作計(jì)劃”，該計(jì)劃將確定認(rèn)證的戰(zhàn)略重點(diǎn)，包括一系列的ICT產(chǎn)品、服務(wù)和流程或類別。這些ICT產(chǎn)品、服務(wù)和流程將在歐盟網(wǎng)絡(luò)安全認(rèn)證體系中受益。

對(duì)跨國公司潛在影響

任何在歐盟范圍內(nèi)提供ICT產(chǎn)品、服務(wù)和流程的企業(yè)，無論其規(guī)模大小，都屬于《歐盟網(wǎng)絡(luò)安全法》的管理范疇。相關(guān)企業(yè)應(yīng)及時(shí)跟蹤ENISA和歐盟官方網(wǎng)站以獲取有關(guān)歐盟網(wǎng)絡(luò)安全認(rèn)證計(jì)劃的更新。例如，ENISA最近發(fā)布了兩份支持網(wǎng)絡(luò)安全認(rèn)證框架的報(bào)告。更重要的是，“標(biāo)準(zhǔn)支持認(rèn)證”報(bào)告重點(diǎn)關(guān)注五個(gè)領(lǐng)域，這些領(lǐng)域都有相關(guān)安全框架、方案或標(biāo)準(zhǔn)。這些框架、方案或標(biāo)準(zhǔn)都有可能演變?yōu)闅W盟候選網(wǎng)絡(luò)安全認(rèn)證方案。五個(gè)具體領(lǐng)域包括：物聯(lián)網(wǎng)、云基礎(chǔ)設(shè)施和服務(wù)、金融領(lǐng)域的情報(bào)威脅、醫(yī)療保健系統(tǒng)的電子健康記錄，以及合格的信托服務(wù)。

此外，企業(yè)/公司應(yīng)考慮申請(qǐng)SCCG的成員資格，并確定是否要獲得認(rèn)可，以便保障企業(yè)可以在歐盟市場中平等競爭。為此，相關(guān)企業(yè)/公司應(yīng)該分析掌握違背認(rèn)證計(jì)劃所帶來的相關(guān)風(fēng)險(xiǎn)。該法案允許每個(gè)成員國決定對(duì)不遵守或違反認(rèn)證計(jì)劃的處罰。但是，罰款必須有效、成比例且具有勸阻性。

總部位于荷蘭的德勤全球法律制裁和出口管制業(yè)務(wù)負(fù)責(zé)人Marie-Josévan der Heijden表示：“跨境產(chǎn)品越來越多地涉及合規(guī)性，遵循《歐盟網(wǎng)絡(luò)安全法》及其認(rèn)證計(jì)劃的問題，尤其是那些關(guān)鍵的基礎(chǔ)設(shè)施公司?！稓W盟網(wǎng)絡(luò)安全法》必將對(duì)歐盟和其他跨國企業(yè)產(chǎn)生影響，許多公司需要進(jìn)行學(xué)習(xí)和培訓(xùn)。

歐洲的目標(biāo)是成為ICT產(chǎn)品、流程和服務(wù)的網(wǎng)絡(luò)安全認(rèn)證和標(biāo)準(zhǔn)化領(lǐng)域的領(lǐng)頭羊?！稓W盟網(wǎng)絡(luò)安全法》為建立協(xié)調(diào)一致的網(wǎng)絡(luò)安全市場提供了機(jī)遇，該市場促進(jìn)了更緊密的國際合作，以提高網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括對(duì)共同行為準(zhǔn)則的定義，行為準(zhǔn)則的采用，國際標(biāo)準(zhǔn)的使用以及信息共享。

圖文來源：信息參考以下網(wǎng)站整理

https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act

https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-act-bringsstrong-agency-cybersecurity-and-eu-wide-rules-cybersecurity

https://cyberwatching.eu/policy-landscape/cybersecurity/eu-cybersecurity-act

https://www.tripwire.com/state-of-security/regulatory-compliance/eu-cybersecurityact-united-states-based-businesses/

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52017PC0477&from=EN

https://www.itgovernance.co.uk/eu-cybersecurity-act

原標(biāo)題：歐盟網(wǎng)絡(luò)安全法，等。