2019年6月27日,《欧盟关于欧洲网络安全局以及信息通信技术网络安全认证条例》正式生效,该法案简称为《网络安全法》。根据该法案第一条的规定:本条例有两个立法目标,其一是明确欧洲网络安全局(ENISA)的工作目标、工作职责和组织事项,其二是建立统一的欧洲网络安全认证框架。
在此法案之前,欧盟已采取一系列措施确保网络安全并以此提升对数字技术的信任。2013年,欧盟颁布了网络安全战略(Cybersecurity Strategy of the European Union),以指导欧盟制定相关政策应对网络威胁和风险。为了更好地保护公民在网络空间的权益,欧洲议会和欧洲理事会颁布了第2016/1148号指令,明确了有关网络安全领域国家能力建设的要求,首次建立了加强成员国之间战略和业务合作的机制,并明确了社会经济重点领域各部门建立网络安全措施的义务,以及在相关事件发生时的通知义务。ENISA在支持该指令的实施方面发挥了关键作用。
此外,有效打击网络犯罪是欧洲安全议程的重要优先事项,欧盟颁布的相关法规还包括第2016/679号条例,第2002/58号指令,第2018/1972号指令,以及欧洲理事会在数字单一市场中为网络安全所做的要求。
根据《欧盟网络安全法》第38条的规定,ENISA是隶属于欧盟的一个机构,具有法人资格。在欧盟各成员国,ENISA应享有各国法律赋予法人最广泛的法律能力。它尤其可以获得或处置动产和不动产,并且是法律诉讼的当事方。ENISA由其执行主任代表。
《欧盟网络安全法》同时新建了一套欧洲范围内的网络安全认证框架,该认证工作也由ENISA统一协调。在拟议框架下,ENISA将与欧洲网络安全认证小组合作,负责设计产品和服务的认证方案,这些认证方案将在若干预先确定的目标范围内运作。同时,该法明确:在准备欧洲网络安全认证方案时,ENISA应定期咨询标准化组织,特别是欧洲标准化组织。就目前而言,这些认证均是自愿的,但到2034年,欧盟委员会将决定是否对其适用的产品强制实施相关认证。
一旦确定了相关认证方案,ICT产品制造商或ICT服务提供者可自愿向其选择的评估机构申请对其产品或服务进行认证。ENISA将每五年审查一次通过的各项认证方案,以确保这些方案继续符合《网络安全法》的目标。任何现有的国家网络安全认证方案都将被新的全欧盟网络安全认证框架所取代。然而,全欧盟范围的认证方案仍将由成员国指定的国家监督机构负责。符合认证框架的ICT产品和服务将由合格评定机构按照以下三个保证级别之一进行认证,即基本安全(basic), 充分安全(substantial),高级别安全(high level)。证书的最长有效期为五年,并可续期。
关于统一认证办法的建议在公众协商期间得到普遍支持,但对ENISA的IT治理框架、欧盟层面缺乏对网络安全恢复能力和威慑的定义以及对框架所对应的法律机构不确定性表示了一些批评和关切。该法案明显避免试图寻求对网络犯罪的刑法方法的协调以及对加密方法的协调,也有观点明确的表达了失望。
为了帮助理解《欧盟网络安全法》的内容,欧盟专门制作了一份一览表,翻译如下供参考:
《欧盟网络安全法》速览
为了提升欧盟对网络攻击的反应能力,提高网络复能力并增加对数字单一市场的信任,《欧盟网络安全法》:
→加强欧洲网络安全局,也即欧盟网络安全机构的能力建设,以改善欧盟成员国和欧盟各机构、组织在网络安全方面的协调与合作;
→建立欧盟范围内统一的网络安全认证框架,以便为特定类别的信通技术产品、流程和服务制定量身定制的认证计划。公司可以对其产品、流程和服务进行一次认证,并获得在整个欧盟范围内有效的认证证书。
欧洲网络安全局
《欧盟网络安全法》赋予欧洲网络安全局更多的职能和资源,以协助欧盟成员国应对网络攻击。这将通过以下方式完成:
ENISA将改善欧盟的网络安全应对和恢复能力,通过计算机安全事件反应小组(Computer Security Incident Response Teams,CSIRTs)的网络促进欧盟成员国之间更好的信息共享,并定期组织泛欧网络安全演习和培训。它将帮助欧盟成员国执行《网络和信息系统安全指令》(NIS指令),该指令明确了国家当局在发生严重网络安全事件时的报告义务。ENISA还将在建立和支持实施欧盟网络安全认证框架方面发挥核心作用。
ENISA在新授权之下的主要职能
1.政策制定和执行:支持欧盟委员会和欧盟成员国制定、执行和审查一般网络安全政策以及国家创新体系指令确定的关键战略部门,如能源、运输和金融。
2.业务合作:加强现有的预防性业务能力,作为秘书处在欧盟层面支持计算机安全事故反应小组各网络的业务合作,并应要求向欧盟成员国提供处理事故的援助。
3.知识和信息:提供分析、咨询并增强认识,成为给欧盟各组织和机构提供网络安全信息的一站式信息港(InfoHub)。
4.能力建设:加强对欧盟成员国的支持,以提高各项能力和专门知识,例如预防和应对事件的能力和专门知识。
“网络安全认证框架”中与市场有关的任务是,在专家的协助下,与各国认证机构密切合作,制定欧洲统一网络安全认证方案的候选方案,并由欧洲联盟委员会与欧盟成员国共同通过。ENISA还将支持信息通信技术(ICT)标准化方面的政策制定。
欧盟网络安全认证框架
1.这是做什么用的?
认证在增加对数字单一市场至关重要的产品和服务的信任和安全方面发挥着关键作用。目前,欧盟有许多不同的ICT产品安全认证方案。如果没有一个可以在整个欧盟范围内有效适用的网络安全证书方案的共同框架,这会导致欧盟单一市场中出现分裂和壁垒的风险将越来越大。
2.认证过程将如何工作?
欧盟网络安全机构(ENISA)将在各国专家的帮助下,为认证方案奠定技术基础,然后由欧洲联盟委员会通过实施法案予以采用。欧盟范围内的认证框架制定了一套全面的规则、技术要求、标准和程序,以商定每一项计划。每项计划都将以欧盟一级的协议为基础,对基于信息和通信技术的特定产品或服务(如智能卡)的安全特性进行评估。该证书将证明,根据这一方案认证的信通技术产品和服务符合具体的网络安全要求。由此产生的证书将得到所有欧盟成员国的认可,使企业更容易进行跨境贸易,并使购买者更容易了解产品或服务的安全特性。
3.认证框架的适用是强制性的吗?
没有。认证计划的使用将是自愿的,除非未来的欧盟立法将欧盟证书规定为满足特定网络安全需要的强制性要求。然而,欧洲联盟委员会将评估对某些类别的产品和服务进行强制性认证的可能需要。
公民和企业将如何从认证框架中获益