为了增强网络弹性,欧盟正在建立信息和通信技术(ICT)产品,服务和流程的认证框架。理事会于2018年6月8日同意了一项提案(称为 网络安全法),以准备与欧洲议会进行谈判以最终确定案文。

该提案的效果之一是,它将把当前的欧盟网络和信息安全局(ENISA)升级为一个更加稳定的欧盟网络安全机构。

网络安全认证

该提案引入了一种工具,可为特定的ICT流程,产品和服务创建更全面的监管框架,以帮助确保符合特定的网络安全要求。

根据该计划颁发的证书将在整个欧盟范围内得到合法认可。因此,这将产生双重影响:建立对用户的信任-鉴于技术认证将意味着该技术已获得欧洲安全邮票-并使企业能够跨境开展业务。该技术所具有的与意外或恶意数据丢失或更改有关的弹性将得到认证。

此认证计划解决了欧盟中成员国之间相互执行不同标准的障碍,例如,成员国发布了改善安全性方面针对特定国家的要求的法规。

对于网络和数据服务运营商,包括云计算服务提供商,此认证方案及其要求的细节尤其重要。

除非欧盟法律或成员国法律将其指定为法律要求,否则认证将是可选的。

网络安全卓越中心和资源

在网络安全领域需要注意的一些关键点:

  • 欧洲第一部立法–网络和信息系统安全性指令(NIS指令)(指令(EU)2016/1148)–已赋予ENISA在支持其实施方面的关键作用。该提案将ENISA合法化。 ENISA将在网络问题上支持成员国,欧盟机构和其他利益相关者。
  • 该提案明确提到了欧盟机构在网络安全方面的作用。欧盟机构将组织稳定的欧盟级别网络安全培训,例如组织年度泛欧网络安全演习。此外,它将支持和促进欧盟关于网络安全认证的政策,并就NIS指令的实施向成员国提供建议,并将促进该机构自身与成员国之间的信息共享。

机制

该提案创建了一个包含三个不同保证级别的机制:基本,实质和高度。

对于基础级别,制造商或服务提供商可以自己进行合格性评估。欧盟个人数据的网络安全要求的一般基础由NIS指令等特定工具提供,并将在EECC和ePrivacy立法(将在生效时替代ePrivacy指令)中进一步涵盖。数据保护法规。

评论

这个新的认证框架肯定会增加对技术领域创新的信任和信心。企业应考虑欧盟网络安全监管框架的发展,并相应设计和实施其安全合规性计划。

我们将密切关注欧洲议会内部这些谈判如何发展。