关于采用基于欧洲通用标准的网络安全认证计划的实施法规

委员会执行条例（欧盟）... /... of 31.1.2024 制定适用欧洲法规(EU) 2019 / 881的规则议会和理事会关于通过欧洲共同基于标准的网络安全认证计划(EUCC) （与EEA相关的文本） 委员会执行条例（欧盟）... /... of 31.1.2024 制定适用欧洲法规(EU) 2019 / 881的规则议会和理事会关于通过欧洲共同基于标准的网络安全认证计划(EUCC) （与EEA相关的文本） 欧洲委员会, 考虑到《欧洲联盟运作条约》，考虑到欧洲议会和理事会的法规（EU）2019 / 8812019年4月17日关于ENISA（欧盟网络安全机构）和信息和通信技术网络安全认证和废除法规（EU）526 / 2013（网络安全法）1，特别是其中第49（7）条， Whereas: (1)本条例规定了角色、规则和义务，以及欧洲基于共同标准的网络安全认证计划(EUCC)根据欧洲网络安全认证框架法规（EU）2019 / 881。EUCC建立在相互承认协议的基础上高级官员信息技术安全证书(“MRA ”)使用通用标准的集团信息系统安全2 (“SOG - IS ”)，包括集团的程序和文件。(2)The scheme should be based on established international standards. CommonCriteria是信息安全评估的国际标准，例如，作为ISO / IEC 15408信息安全、网络安全和隐私保护-IT安全的评估标准。它基于第三方评估和设想七个评估保证级别(“EAL ”)。通用标准附有通用评估方法，例如，发布为ISO / IEC 18045 -信息安全、网络安全和隐私保护- IT评估标准安全- IT安全评估的方法。规范和文档适用本规例的条文可能与公开可用的标准有关反映本法规认证中使用的标准，如通用信息技术安全评估标准和通用方法信息技术安全评估。(3)EUCC使用通用标准的脆弱性评估系列(AVA _ VAN)，组件1至5。这五个组件提供了所有主要的决定因素和 用于分析ICT产品漏洞的依赖项。作为组件与本条例中的保证水平相对应，它们允许消息灵通的基于对安全要求进行的评估，选择保证以及与ICT产品的预期用途相关的风险。申请人EUCC证书应提供与预期用途相关的文档ICT产品以及与此类使用相关的风险水平的分析使合格评估机构能够评估保证的适宜性选定的级别。评估和认证活动由同一合格评定机构，申请人应提交所要求的信息只有一次。 (4)技术领域是一个参考框架，涵盖一组ICT产品，这些产品具有特定和类似的安全功能，可以减轻攻击，其中特性对于给定的保证级别是常见的。技术领域在最先进的文档的具体安全要求以及额外的适用于ICT认证的评估方法、技术和工具本技术领域涵盖的产品。因此，技术领域也促进涵盖的ICT产品评估的协调。两个技术域目前广泛用于认证级别AVA _ VAN.4和AVA _ VAN.5。第一个技术领域是“智能卡和类似设备”技术领域，其中所需安全功能的重要部分依赖于特定的、定制的和通常可分离的硬件元素(例如智能卡硬件,集成电路,智能卡复合产品,可信平台可信计算或数字行驶记录仪卡中使用的模块)。第二个技术领域是“带安全盒的硬件设备”，其中重要所需安全功能的部分取决于硬件物理信封（称为“安全箱”），旨在抵抗直接攻击，例如支付终端,行车记录仪,智能电表,门禁终端和硬件安全模块)。(5)申请认证时，申请人应说明其选择理由对条例第51条规定的目标的保证水平(EU) 2019 / 881，以及从安全目录中选择组件通用中包含的功能要求和安全保证要求标准。认证机构应评估所选保证的适当性水平，并确保所选水平与相关风险水平相称ICT产品的预期用途。(6)(7)根据通用标准，认证是针对安全目标进行的包含ICT产品的安全问题以及安全性的定义解决安全问题的目标。安全问题提供了有关ICT产品的预期用途以及与此类用途相关的风险。精选集的安全需求响应安全问题和安全目标ICT产品。保护配置文件是预先确定共同标准的有效手段适用于特定类别的ICT产品，因此也是一个基本要素在保护配置文件所涵盖的ICT产品认证过程中。A保护配置文件用于评估属于给定ICT的未来安全目标该保护配置文件解决的产品类别。他们进一步简化和提高ICT产品认证过程的效率，并帮助用户正确有效地指定ICT产品的功能。保护配置文件 因此，应被视为导致ICT产品认证。(8)为了使它们在信通技术进程中发挥作用，支持发展和交付认证的ICT产品，保护配置文件本身应该能够独立于特定ICT产品认证因此，必须至少应用相同的级别对安全目标的保护配置文件进行审查，以确保高水平的网络安全。保护配置文件应与相关的ICT产品，仅通过应用通用标准和通用评估方法的保护配置文件(APE)保证类，其中适用于保护配置文件(ACE)的配置。由于它们的重要性和作为ICT产品认证基准的敏感角色，它们应该仅由公共机构或以前收到的认证机构认证国家网络安全认证对特定保护概况的批准权威。由于它们在保证级别“高”认证中的基本作用，在特别是在技术领域之外，应将保护配置文件开发为应得到欧洲网络安全机构认可的最先进的文件认证集团。(9)经认证的保护配置文件应包含在EUCC符合性和国家网络安全认证机构的合规性监控。在用于评估ICT产品的方法的方法，工具和技能可用于特定的认证保护配置文件，技术域可能基于在那些特定的保护配置文件上。(10)为实现对ICT认证产品的高度信任和保证，自本法规不允许评估。只有第三方符合性应允许ITSEF和认证机构进行评估。(11) SOG - IS社区为通用标准和通用评价方法的应用认证，特别是技术所追求的保证水平“高”域"智能卡和类似设备"和"具有安全性的硬件设备箱。“。在EUCC方案中重复使用此类支持文档可确保从国家实施的SOG - IS计划平稳过渡到统一的EUCC方案。因此，统一的评估方法本法规应包括所有认证活动的一般相关性。此外，欧盟委员会应该能够要求欧洲网络安全认证小组将采纳认可和推荐申请的意见最先进的文件中规定的评估方法EUCC计划下的ICT产品或保护概况的认证。这因此，法规在附件I中列出了用于评估的最新文件合格评定机构开展的活动。欧洲网络安全认证组应认可和维护最先进的文件。the - art documents should be used in certification. Only in exceptional and duly合理的情况下，合格评定机构不得在特定情况下使用它们条件，特别是国家网络安全认证的批准权威。(12) AVA _ VAN 4级或5级的ICT产品认证应仅在特定条件和特定评估方法可用的地方。The特定的评估方法可能包含在最新的文件中 与技术领域相关，或在作为状态采用的特定保护配置文件中与相关产品类别相关的艺术文档。仅在特殊和正当的情况下，这些保证级别的认证应该是可能，但须遵守特定条件，特别是经国家批准网络安全认证机构，包括适用的评估methodology. Such exceptional and duly justified cases may exist where Union or国家立法要求ICT产品认证为AVA _ VAN 4级或5级。同样，在特殊和正当的情况下，可以对保护概况进行认证在不应用相关最新文件的情况下，具体条件，特别是国家网络安全认证的批准权限，包括适用的评估方法。 (13)根据EUCC使用的标记和标签旨在明显地证明认证的ICT产品对用户的可信度，并使他们能够在购买ICT产品时做出明智的选择。标记和标签的使用应还必须遵守ISO / IEC 17065中规定的规则和条件，其中适用，ISO / IEC 17030与适用指南。 (14)认证机构应决定证书的有效期考虑到有关ICT产品的生命周期。有效期不应超过5年。国家网络安全认证机构应开展工作关于统一联盟的持续时间有效性。 （15）在缩小现有EUCC证书的范围的情况下，证书应为撤回，并应颁发具有新范围的新证书，以确保用户清楚地了解证书的当前范围和保证级别给定的ICT产品。 (16)保护概况的认证与ICT产品的认证不同，因为它涉及到ICT流程。由于保护概况涵盖了一类ICT产品，因此其评估和认证不能在单一ICT产品的基础上完成。作为保护配置文件统一了有关类别的一般安全要求ICT产品，独立于ICT产品由其供应商的表现，EUCC保护档案证书的有效期原则上应：至少涵盖5年，并且可以延长到保护的使用寿命profile. (17)合格评定机构被定义为执行合格评定的机构评估活动，包括校准、测试、认证和检查。在为了确保高质量的服务，本法规规定一方面是活动，另一方面是认证和检查活动，应由彼此独立运作的实体执行，即信息技术安全评估设施(ITSEF)和认证机构，分别。两种类型的合格评定机构都应得到认可在某些情况下，授权。 （18）认证机构应根据ISO / IEC 17065标准进行认证由国家认证机构为保证级别“实质性”和“高”。在除了符合法规(EU) 2019 / 881的认证外，与法规(EC) No 765 / 2008相结合，合格评定机构应满足特定要求，以保证他们的技术能力在EUCC的保证级别“高”下评估网络安全要求，由“授权”确认。为了支持授权过程， 应制定相关的最先进的文件，并由ENISA发布在欧洲网络安全认证小组的认可之后。 (19) ITSEF的技术能力应通过以下认证进行评估测试实验室符合ISO / IEC 17025和补充ISO / IEC 23532 - 1，用于与以下项目相关的全套评估活动保证级别，并在ISO / IEC 18045中与ISO / IEC 15408一起指定。认证机构和ITSEF都应建立和维护适用于ISO / IEC人员的适当能力管理体系19896 - 1关于能力的要素和水平以及评估能力。对于知识、技能、经验和教育水平，评估人员的适用要求应来自ISO / IEC 19896 - 3。处理偏离这种能力的等效规定和措施管理系统应该被证明，符合系统的目标。 (20)为了获得授权，ITSEF应证明其确定没有已知的漏洞，正确和一致的实施状态-相关特定技术的艺术安全功能和针对ICT产品对熟练攻击者的抵抗力。此外，对于授权在“智能卡和类似设备”的技术领域，ITSEF还应展示评估活动所需的技术能力，以及“ITSEF对安全评估的最低要求”中定义的相关任务根据通用标准，智能卡和类似设备的3个支持文件。对于技术领域“带安全盒的硬件设备”的授权，此外，ITSEF还应证明最低技术要求在硬件设备上执行评估活动和相关任务所必需的根据ECCG的建议，带有安全箱。在最低限度的情况下要求，ITSEF应该能够进行不同类型的攻击在“对带有安全盒的硬件设备的攻击潜力的应用”中列出共同标准下的支持文件。这些能力包括评估人员的知识和技能以及所需的设备和评估方法确定和评估不同类型的攻击。 (21)国家网络安全认证机构应监测认证机构、ITSEF和证书持有人及其义务源于本法规和法规（EU）2019 / 881。国家网络安全认证机构应使用任何适当的信息来源为此，包括从认证过程参与者和自己的调查。 （22）认证机构应与相关市场监管机构合作，并考虑到可能与ICT产品相关的任何漏洞信息他们已签发证书。认证机构应监督他们已经认证的保护配置文件，以确定是否设置了安全要求出去一类ICT产品继续反映了最新的发展威胁景观。 (23)为支持合规监控，国家网络安全认证当局应与相关市场监管机构合作根据条例（EU）2019 / 881和条例第58条 （EU）欧洲议会和理事会的2019 / 1020 4。经济运营商在联盟中有义务分享信息并与市场监督合作当局，根据第2019 / 1020号条例第4 (3)条。 (24)认证机构应监督证书持有人的遵守情况and the conformity of all certificates issued under the EUCC. The monitoring