网络安全“出圈”！欧盟推出首个数字产品网络安全认证

欧盟近日迈出了网络安全里程碑式的一大步——正式推出了首个名为“欧盟共同标准网络安全认证方案”(EUCC)的统一产品安全认证体系，旨在提升欧盟成员国所有IT产品和服务的整体安全水平。

安全就是产品力

EUCC安全认证的推出标志着网络安全能力“出圈”，成为欧盟IT行业所有数字产品的关键产品力和市场通行证。

据悉，该认证方案由欧盟网络安全局(ENISA)联合成员国共同起草，为自愿性质，将在过渡期后取代现有的各成员国独立网络安全认证。

EUCC的核心在于建立一套涵盖技术组件（芯片、智能卡）、硬件和软件等各类数字产品的欧盟通用评估流程，帮助ICT供应商证明产品符合相应的网络安全保障标准。统一标准既有助于提升欧洲ICT厂商在欧盟乃至全球市场的竞争力，同时也激励供应商强化自身安全能力。

EUCC认证流程详解：

• 根据产品、服务或流程的使用风险等级划分为两个认证级别，风险等级由潜在事故的发生概率和影响程度共同决定。
• 认证要求基于已有广泛应用于17个欧盟成员国的“信息系统安全评估指导方案”(SOG-IS)改编制定。
• 已持有SOG-IS认证的厂商，只需针对EUCC新增或更新的要求进行评估，即可将现有认证转换为EUCC认证。
• ENISA负责发布所有EUCC认证证书。

借安全认证打造“安全共同体”

ENISA执行董事Juhan Lepassaar表示：“首个网络安全认证方案的推出标志着欧盟迈向可信赖的数字单一市场的重要一步，也是正在构建的欧盟网络安全认证框架的重要组成部分。”

值得关注的是，ENISA目前正致力于另外两个网络安全认证方案的制定，分别针对云服务和5G安全领域。此外，该机构还启动了关于人工智能网络安全认证需求的可行性研究。

欧盟安全法规标准日趋严格

随着网络安全合规要求的不断增长，以及利益相关者对网络安全和隐私问题的日益重视，通过认证展示安全能力对企业而言变得至关重要。

欧盟此次推出统一认证方案，是其近年来一系列网络安全立法举措之一。2023年12月，欧盟达成了“网络弹性法案”(CRA)的协议，旨在对成员国境内的联网设备制造商提出安全要求。

2023年1月，欧盟又更新了“网络和信息安全指令”(NIS2)，对关键行业组织制定了统一的网络安全标准。将网络安全规则的范围扩大到新的部门和实体，进一步提高了公共和私人实体、主管当局和整个欧盟的弹性和事件响应能力。该指令对应的成员国法规实施截止日期为2024年10月17日。

此外，2023年，ISO/IEC27001认证标准也进行了更新，以适应新的商业实践和日益增长的云服务依赖。

欧盟此次推出的EUCC统一网络安全认证方案不仅有助于提升整个欧盟（IT产品与服务）的网络安全水平，也为ICT厂商在数字单一市场内创造公平竞争环境，有利于推动整个欧盟IT行业的整体安全发展。

参考链接：