欧盟网络安全法案：建通用网络安全认证系统

2018年5月29日，欧盟委员会发起了一项欧洲未来网络安全章程（《欧盟网络安全法案》）的提议。

《欧盟网络安全法案》

《欧盟网络安全法案》是一种更广泛的“网络安全数据包”（Cybersecurity Package）的表现形式，“网络安全数据包”的概念最初于2017年提出，后经过了一段时间的影响评估，并接受了各界评论。在网络风险不断增加的形势下，《欧盟网络安全法案》：

将把欧盟网络和信息安全署（ENISA）定位成欧盟永久性机构，从而加强 ENISA 的力量。

还将为信息和通讯技术（ICT）等产品创建一个欧洲网络安全认证框架，旨在欧盟内部提供网络弹性和响应能力，协调各种标准以提升效率也是欧盟“数字单一市场”（Digital Single Market）战略的核心主题。

一项提议要成为正式法案，还需得到欧洲议会的批准。

欧盟网络安全署：ENISA将发挥重要作用

《欧盟网络安全法案》的首个主要政策就是指定 ENISA 为永久性的欧盟网络安全机构。

ENISA 最初创立于2004年，当时是一个临时性的欧盟机构，负责欧盟的网络和信息安全。那之后，由于网络安全问题不断，所以该机构得到拓展。

现在的 ENISA 可以组织欧盟网络威胁演习，以测试欧盟面对威胁的恢复能力，该机构为国家性的“网络安全紧急事件响应团队”（CSIRT）提供支持，且提供了一个分享信息和最佳实例的论坛。

在《欧盟网络安全法案》之下，ENISA 会继续专注政策发展和部署。该机构将持续为网络安全政策提供参考，并将于欧盟各国的 CSIRT 团队一同应对网络安全事件，并且 ENISA 的权限还将被扩大。

欧盟委员会推荐对大规模网络安全事件和威胁采取协同响应，协助进行国际性标准的开发，并监控欧盟范围内 ICT 设备的网络安全认证框架，而 ENISA 将在这一过程中起到更大的推动作用。

推行通用网络安全认证系统

《欧盟网络安全法案》的第二个主要任务就是网络安全认证框架的概念。这项提议的目的是防止采用不同标准的成员国之间出现不必要的分歧。可以通过在不同司法管辖区降低产品认证费用来实现。拟议的认证框架还涉及让不同成员国的认证产品得到相互认可。这会让产品快速走向市场，因为产品免去了多国认证的麻烦。

一个通用的网络安全认证框架有几点潜在好处：

使得成员国更容易开发具有互操作性的产品。

在具有高度分化节点的网络之间，可缩小安全差距。

可以增强欧盟范围内消费者对相关认证产品的信任度，因此可鼓励智能设备的消费和使用。或许还将为认证产品打上标记或标签以实现这一目标。

《欧盟网络安全法案》列出了最终确定网络安全认证框架所需要的一些要素：

第一，一个认证框架需要国家级的评估机构，以确保他们具备评估产品的技术能力。

第二，一个认证框架需要明确定义的评估标准和准则，以监控产品是否符合要求，再授予和更新网络安全认证。一个网络认证框架还要能够报告和处理以前未检测出的漏洞。

《欧盟网络安全法案》考虑到了实施一个认证系统的不同方法。例如，私企针对预先发布的标准，对产品一致性进行自评，然后再由私企执行认证。这一该概念并不完善，因为自认证过程中可能会不够客观。另一种方式是，ENISA 和国家级监管机构执行一个端到端的认证过程，包括认证检查和差评测试。虽然这样比较客观，但是耗时费力，成本也更高。最终，或许是根据产品类型，将两种方法以不同方式组合在一起使用。

对于拟议网络安全认证框架一事，还有许多问题。还不清楚欧盟委员会是否要出台通用的或专用的网络安全指南。由于不同产品和服务的网络安全需求不同，所以很难出台“一刀切”的标准。从国际角度讲，也不清楚拟定的欧盟网络安全认证框架怎样和其他国家的标准共存。要创建一个有效的网络安全认证框架，就需要解决这些问题。

《欧盟网络安全法案》带来的启示

《欧盟网络安全法案》突出了两大趋势。

第一，不断增加的数字化和联网设备带来越来越多的网络安全风险，网络安全已经成为政府的一项重要事务。因此，与网络安全准备相关的机构都扩大了其投资。澳大利亚最近扩大“澳大利亚网络安全中心”，美国目前正在重新评估自己的网络战略。加拿大政府目前正考虑对其《个人信息保护和电子文件法》进行实质性修订，而且加拿大金融机构和投资行业监管机构办公室发布了网络安全指南。

第二个趋势是国际合作的需要。跨边界的网络安全事件越来越常见，而且这类事件都需要综合性的全球响应。拟议的欧盟网络安全认证框架就是这种协作的成果之一。由于ICT产品有着复杂的全球供应链，欧盟必须同其他国家合作，以实现认证体系的相互认可。

原文发布时间为：2018-07-29
本文作者：E安全
本文来自云栖社区合作伙伴“安恒信息”，了解相关信息可以关注“安恒信息”