欧洲网络安全认证联盟滚动工作计划

委员会工作人员工作文件 欧洲网络安全认证联盟滚动工作计划 1. Introduction 本员工工作文件(以下简称“社署”)符合网络安全法案1 (以下简称“CSA ”)根据第47 (1)条规定，“委员会应公布欧洲网络安全认证联盟滚动工作计划(“联盟滚动工作方案）“更具体地说，”应确定未来的战略重点欧洲网络安全认证计划” (本社署第2节)。 此外，CSA第47（2）条要求“联盟滚动工作计划应在特别包括ICT产品、ICT服务和ICT流程或其类别的清单能够从被纳入欧洲网络安全的范围中受益认证计划” (本社署第3节)。 更广泛地说，于2019年6月27日生效的CSA在其第三章中规定了欧洲网络安全认证框架(以下简称“框架”)建立自愿的欧洲网络安全认证计划。这些计划旨在确保信息和通信技术的网络安全水平(以下简称“ICT ”)欧盟的产品、服务和流程(以下简称“联盟“)，以及减少内部市场的分裂。 这第一个联盟滚动工作计划(以下简称“URWP ”)考虑到了网络欧盟联合立法者达成临时政治协议的弹性法案2（以下简称“CRA ”）20233年11月30日达成的协议。CRA将引入强制性水平网络安全具有数字元素的产品的基本要求，包括软件和连接设备，在内部市场和整个生命周期中可用。它规定适当的合格评定方法，包括第三方合格评定，取决于相关的网络安全风险水平。CRA预见了特定的相互作用欧洲网络安全认证计划及其实施将得到促进通过标准化。 此外，即将修订的法规（EU）No 910 / 2014建立了一个框架欧洲数字身份(以下简称“欧洲数字身份条例”) 4预见了欧洲数字身份钱包的未来欧洲网络安全认证。认证在欧盟网络团结法案5的提案中也发挥了作用，该法案提出了托管安全服务的认证是受信任的选择标准之一构成欧盟网络安全储备的提供商(见本社署第3节)。据此，委员会还于2023年4月18日提出了对CSA的有针对性的修正案，以使采用“管理安全服务”的欧洲网络安全认证方案6。 提到网络安全认证的其他新立法举措证明符合网络安全要求或促进信任可能会影响从长远来看，未来的欧洲网络安全认证。这包括即将到来的制定人工智能协调规则的法规(以下简称“人工情报法“）7，欧盟共同立法者最近分别达成了临时协议政治协议。此外，给欧洲议会的联合来文和欧盟网络防御政策委员会8呼吁探索欧盟层面的发展网络安全行业和私营公司的网络安全认证计划。关于芯片法案9的(EU) 2023 / 1781条例提到需要发展，网络安全要求方面的认证程序，并呼吁业界与联盟一起为具有潜力的特定部门和技术制定此类程序高社会影响。最后，关于高共同水平措施的指令(EU) 2022 / 2555整个联盟的网络安全(“NIS2 ”) 10指的是需要必要和使用特定ICT产品、ICT服务和ICT流程的重要实体通过欧洲网络安全认证计划认证。 第一个URWP指出了欧洲网络安全认证计划所在的领域由于立法发展以及未来需要反思的领域而设想网络安全认证，这最终可能导致对新方案的请求必要和适当。此外，它概述了在准备任何欧洲网络安全认证计划。为此，上述-提到的立法举措已被考虑在内。特别是，任何未来欧洲网络安全认证计划应充分考虑基本要求和CRA的规则以及相关的标准开发工作。同样，任何未来与欧洲数字身份钱包相关的方案应建立在标准和技术上根据欧洲数字身份法规制定的规范。 根据CSA第47（4）条，在起草本URWP时，欧洲委员会(以下简称“委员会”)适当考虑了欧盟发表的意见11网络安全认证组（以下简称“ECCG ”）和利益相关者网络安全Certification Group (下称“SCCG ”) 12. Overall, the opinion of the ECCG and the SCCG支持URWP草案在选择战略重点方面采取的方法。他们强调了框架下计划之间协调一致的重要性，风险- 基于方法，方案的可组合性，以及使用元素的可能性未来的现有计划。意见表明，未来可能的计划可以特别考虑物联网(IoT)产品和工业自动化控制系统(IACS)。作为未来可能思考的领域，SCCG的意见还提到了智慧城市数据系统、托管安全服务、身份和信任服务整个欧盟和无人机指挥系统。意见还强调了任何未来的认证计划都应考虑到相关的欧盟立法，规定与已经存在或正在开发的方案保持一致，并密切执行与利益相关者的合作。 根据CSA第48（2）条，委员会已经发出了三项请求欧盟网络安全机构（ENISA）开发候选网络安全认证方案：欧洲共同标准方案(EUCC)，t他的欧洲计划关于云计算服务（EUCS）和5G网络上的欧洲计划13。没有已包含在URWP中，根据当前市场，这些请求是合理的成员国和欧盟一级的发展以及最近的政策和立法发展（另见CSA演奏会84）。2024年1月31日通过的EUCC是第一个通过的框架下的欧洲网络安全认证计划14。 2.未来欧洲网络安全认证计划的战略重点 根据CSA的规定和与利益相关者的磋商，并考虑最近的立法和市场发展，在进行时需要考虑的一系列关键方面网络安全认证被确定为框架，以充分发挥其潜力和实现其目标。 2.1.标准化 国际和欧洲标准的使用将对吸收产生直接的积极影响欧洲网络安全认证计划，在欧盟和全球。因此，它们在框架内的使用，以及它们在与相关的欧洲标准化组织和其他相关组织，是一个战略优先级。 在这种情况下，ICT标准化滚动计划15和年度联盟工作欧洲标准化计划16是适当的工具，表明需要必要时采取与标准化相关的行动。 在框架的背景下，可用于表示横向安全的标准要求和部门要求，以及与评估相关的标准方法论尤其重要。标准可以进一步维持欧盟的要求 和成员国的政策以及其他相关的监管要求网络安全认证，例如个人数据和安全，并提供与网络安全的链接对依赖于统一标准的政策领域的认证。因此，重要的是确保欧洲网络安全认证和正在制定各种标准，以支持联盟协调立法。 特别是，为支持实施CRA而制定的标准和欧洲数字身份法规应考虑任何未来的欧洲网络安全认证计划。未来的CRA标准将建立在先前相关的基础上标准化工作，特别是关于2022 / 30授权条例的工作无线电设备指令(以下简称“红色授权条例”) 17 18。 标准也是连贯表达保证水平概念的关键要素。根据CSA的说法，网络安全认证计划可能涵盖多达三个保证水平(基本、实质性和高度)捕获不同级别的风险并涉及增量评估的严格程度和深度，以及其不同的类型(从自我对第三方符合性认证的评估)。最后，进一步标准化和关于评估活动的指导可以促进一致性的协调整个欧盟的评估方法。 2.2.设计安全性、生命周期安全性和默认安全性 通常，与安全相关的活动仅在特定时间点进行，这导致大量的安全问题发现太晚或根本没有发现19.更有效的方法是在整个开发生命周期中集成这些与安全相关的活动，以帮助及早发现和减少漏洞，有效地在(安全设计和默认值）。 该框架鼓励组织，制造商或供应商参与设计并开发ICT产品、服务或流程，以实施适当的措施在整个生命周期中设计和开发的最初阶段，以保护安全这些产品、服务和流程的最高程度。设计方法将确保预期并最小化网络攻击的影响。作为整个产品生命周期方法的一部分，漏洞处理和披露20应该也应根据框架考虑。本着这种精神，安全出现了开发生命周期(SDL)方法(请参阅下面的本SWD第3节)。 同样，组织应部署具有固有安全性的ICT产品，服务或流程设置（“默认安全”）或使用户可以轻松地将其配置为此安全状态这将减少用户必须配置其适当的设备。 设计安全性、默认安全性和生命周期注意事项是适用于内部市场上所有软件和硬件产品的CRA。CRA预计制造商有义务满足基本的网络安全要求，包括默认安全性，适用于具有数字元素的产品整个设计、开发和生产阶段的内部市场(见第10条和Annex I Section 1). Furthermore, the CRA requires the manufacturers and other economic运营商确保网络安全，并在期间处理此类产品的漏洞支持期，应反映产品预计使用的时间(见第10条和附件一第2节)。 框架下的活动预计将补充和发展CRA，并在技术设计的早期阶段促进安全功能的整合，并开发。认证的正式过程，由识别或开发支持适当的标准，应使用户能够确定这些安全功能已得到验证由独立实体和使用有效的评估方法。采用在适当的情况下，“设计安全性和默认安全性”方法本身可以是主题认证，无论是作为独立计划还是作为更广泛计划的一部分。在这种情况下，CRA的基本要求和规则以及相关标准的制定工作应该得到充分考虑。 2.3. Risk - based assurance 确定网络安全要求和相关的评估方法在每个方案应该是基于风险的。这种基于风险的网络安全认证方法已经在框架中捕获，要求在每个中指定一个或多个保证级别方案如下：CSA第52条规定的“基本”、“实质性”、“高”。在此外，还规定，保证级别应基于与产品、服务或过程的预期使用，在可能性和影响方面事件。 作为给定的ICT产品，服务和流程可以在不同的环境中使用，每个欧洲人网络安全认证计划应指定相应的评估级别使用的评估方法的严格程度和深度不同。例如，对于任何影响有限或管理和控制良好的ICT产品、服务和流程在环境中，自我评估可能被认为是一种可接受的选择。 每个方案中的保证级别应尽可能包括漏洞评估。这种评估应侧重于识别漏洞和计算每个已识别漏洞的攻击潜力及其影响。分析利用漏洞所需的攻击潜力可能包括诸如机会之类的因素以及识别和利用它所需的时间以及所需的专业工具和技术剥削。 保证级别的选择，更重要的是要求和相应的评估方法可能会直接影响认证的工作量和持续时间。因此，有必要及时收集相关标准，以通过以下方式适当评估这些方面： 例如，与制造商(包括中小企业)协商、合格评定经认证的ICT产品、服务或流程的机构和最终用户。 2.4. Coherence, 'composability' and common processes 在《框架》的背景下，应作为个人在各级追求一致性 components and services may be employed across various supply chain. Each schemeshould 未来的方案将需要考虑重新使用现有证书和方案的可能性（“可组合性”），包括横向，特定技术和部门计划。“撰写”证书的可能性对于复杂、大型的认证特别有用依赖子系统的系统。它将减少冗余或双重评估活动，从而在更短的时间内简化和减少组织与合规相关的努力期间。 然而，重要的是要适当探索组成的法律和技术界限。证书，以避免无法控制或不可预测的副作用。有必要确保允许组成证书的系统的认证方案，捕获该系统的所有网络安全要求和期望属性通过连贯保证方法。为有效性和有效性建立适当的规则也很重要源于组合证书的评估结果的一致性。 最后，在网络安全评估方面也应实现一致性requirements. Divergent approaches may place additional necessary burst on stakeholders参与网络安全认证。 此外，欧洲网络安全认证下的评估和符合性评估计划应在所有会员国以统一的方式执行，以防止‘认证购物’。关于同行评审和同行评估的现有规定可以减轻这种风险，同时建设负责进行合规的利益相关者的能力评估活动和鼓励它们之间的合作也有望为欧盟的协调做出贡献。 2.5.国际合作 该框架有可能成为其他国际认证的基准系统。例如，欧洲方案的安全性要求和评估方法可以作为在其他世界进行的网络安全认证的基准regions. This would also support the activities of European manufacturers and developerswhoglobally and often have to achieve multiple certifications. In this context, it is import