欧盟网络安全法简介

《欧洲网络安全法》于2019年6月27日生效。这一法规设定了欧洲网络安全局ENISA（European Network and Information Systems Agency）的新任务，并建立了欧洲网络安全认证框架。该法规还为欧洲网络和信息系统局提供了永久性授权，并将其更名为欧盟网络安全局（EU Agency for Cybersecurity），同时赋予了其更大的权限和更多的资源。

这一法案的许多条款进一步支持或加强了“网络和信息系统安全性（NIS）指令”的条款。该法案的任务包括：

◎为信息和通信技术（ICT）产品、服务和流程建立欧盟网络安全认证框架；

◎要求会员国指定一个或多个国家级别的网络安全认证机构；

◎建立评估机构，以确保该法案的实施；

◎要求成员国确定违反认证和违反欧洲网络安全认证计划的处罚。

《欧洲网络安全法》起始条款就为开发安全认证框架的必要性提供了充分的理由。物联网设备以及相关的ICT产品和服务在设计安全措施上没有充分内置，导致网络安全性不足。该法令进一步指出，认证的有限使用导致提供给个人、组织和企业用户针对ICT产品、服务和流程的网络安全功能的信息不足，从而破坏了对数字解决方案的信任。

ENISA永久授权

《欧盟网络安全法》授予欧盟网络安全局永久性的职责，分配了更多资源和新任务。ENISA将通过准备特定认证计划的技术基础，并通过专用网站将认证计划以及已颁发的证书告知公众，从而在建立和维护欧洲网络安全认证框架时发挥关键作用。ENISA还受命于欧盟国家级别间的运营合作，帮助那些要求其处理网络安全事件的欧盟成员国，并在大规模跨界网络攻击和危机情况下支持欧盟内部协调。

欧盟网络安全认证框架

认证对于提高对欧盟数字市场关键产品和服务的信任和安全性起着至关重要的作用。目前，欧盟存在多种针对ICT产品的安全认证方案，但是由于缺乏适用于欧盟范围内有效网络安全证书的通用框架，颁发的证书严重缺乏统一性。

《欧盟网络安全法》第三章提出了网络安全认证框架，旨在提高欧盟的网络安全水平，并建立统一的方法对ICT产品、服务和流程进行网络安全认证。通过建立欧盟轮值工作计划来寻求统一认证，该计划确定了ICT产品、服务和流程认证的核心。

授予的认证将基于网络安全认证计划，这些计划是在欧盟国家层面建立的，适用于特定ICT产品、服务和流程的认证或一致性评估的一套全面的规则、技术要求、标准和程序。在这个认证框架下，将针对不同类别的ICT产品、流程和服务创建多种方案。每个认证方案将指定：

◎涵盖的产品类别；

◎每个网络安全要求（参考标准或技术规范）；

◎要求的评估类型（自我评估或第三方评估）；

◎预期的保证级别（基本、实质或高级）。

为了表达网络安全风险，证书可以有三种安全保证级别，分别为：基本保证级别、实质保证级别、高保证级别。这些保证级别与ICT产品、服务和流程的预期用途相关，并且风险级别与发生风险的可能性和影响是相对应的。例如，高保证级别就意味着认证产品已通过最高等级的安全性测试。由此产生的证书将在所有欧盟成员国中得到认可，可以使企业更容易进行跨境贸易，并使消费者更容易理解产品或服务的安全性。

认证框架实施的管理将由两个专家小组进行指导，包括由国家网络安全认证机构的代表组成的欧洲网络安全认证组（ECCG），以及利益相关者网络安全认证小组（SCCG）。SCCG由所有利益相关者指定的代表组成。这两个专家小组都将向欧洲委员会提供有关网络安全认证框架的建议，为ENISA提供有关认证和标准化的建议，并为欧盟提供有关认证计划的轮值工作程序。该法案生效后，欧洲委员会向利益相关者发出加入网络安全认证小组（SCCG）的邀请，并建议私营部门和组织申请加入SCCG，通过成为SCCG成员可以更加了解情况，以保护他们自己的利益。

委员会还将制定“欧洲网络安全认证联盟轮值工作计划”，该计划将确定认证的战略重点，包括一系列的ICT产品、服务和流程或类别。这些ICT产品、服务和流程将在欧盟网络安全认证体系中受益。

对跨国公司潜在影响

任何在欧盟范围内提供ICT产品、服务和流程的企业，无论其规模大小，都属于《欧盟网络安全法》的管理范畴。相关企业应及时跟踪ENISA和欧盟官方网站以获取有关欧盟网络安全认证计划的更新。例如，ENISA最近发布了两份支持网络安全认证框架的报告。更重要的是，“标准支持认证”报告重点关注五个领域，这些领域都有相关安全框架、方案或标准。这些框架、方案或标准都有可能演变为欧盟候选网络安全认证方案。五个具体领域包括：物联网、云基础设施和服务、金融领域的情报威胁、医疗保健系统的电子健康记录，以及合格的信托服务。

此外，企业/公司应考虑申请SCCG的成员资格，并确定是否要获得认可，以便保障企业可以在欧盟市场中平等竞争。为此，相关企业/公司应该分析掌握违背认证计划所带来的相关风险。该法案允许每个成员国决定对不遵守或违反认证计划的处罚。但是，罚款必须有效、成比例且具有劝阻性。

总部位于荷兰的德勤全球法律制裁和出口管制业务负责人Marie-Josévan der Heijden表示：“跨境产品越来越多地涉及合规性，遵循《欧盟网络安全法》及其认证计划的问题，尤其是那些关键的基础设施公司。《欧盟网络安全法》必将对欧盟和其他跨国企业产生影响，许多公司需要进行学习和培训。

欧洲的目标是成为ICT产品、流程和服务的网络安全认证和标准化领域的领头羊。《欧盟网络安全法》为建立协调一致的网络安全市场提供了机遇，该市场促进了更紧密的国际合作，以提高网络安全标准，包括对共同行为准则的定义，行为准则的采用，国际标准的使用以及信息共享。

图文来源：信息参考以下网站整理

https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act

https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-act-bringsstrong-agency-cybersecurity-and-eu-wide-rules-cybersecurity

https://cyberwatching.eu/policy-landscape/cybersecurity/eu-cybersecurity-act

https://www.tripwire.com/state-of-security/regulatory-compliance/eu-cybersecurityact-united-states-based-businesses/

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52017PC0477&from=EN

https://www.itgovernance.co.uk/eu-cybersecurity-act

原标题：欧盟网络安全法，等。