这篇关于EUCC的问答文章是基于Applus+ Laboratories在2024年10月组织举行的关于EUCC计划的网络研讨会上参与者对Javier Tallón(jtsec,Applus+公司总监)的提问。Jose Manuel Pulido(jtsec,Applus+ 公司咨询经理)回答了与CRA有关的问题。研讨会由Jose Francisco Ruiz(Applus+ 实验室网络安全业务部总监)主持。
问:经过五年的发展,为什么一切(EUCC/CSA/CRA 的推出)都如此复杂?
答: Javier Tallón:
复杂性源于几个因素。首先,这是《网络安全法案》下的第一个计划,之前没有关于如何制定此类计划的经验。制定过程还恰逢新冠大流行时期,这增加了挑战。此外,《网络弹性法案》(CRA)的出台也要求该计划符合新法规的要求。尽管面临这些挑战,从欧盟委员会到ENISA以及特设工作组成员,每个人都致力于保持高质量标准。从内容广泛的技术文件过渡到简明扼要的法律文本是一项重大挑战,不可避免地会遗漏许多细节。现在,进一步制定该计划的重任落在了欧洲电子工程师学会欧盟电算中心维护分组的肩上,该分组的资源可能较少,而且可能会重新讨论多年前的问题。
问:之前通过通用标准认证的产品是否会在EUCC计划中得到认可?
答:Javier Tallón:
证书在过期前一直有效,成员国认可第三国颁发的证书。在特设工作组讨论期间,曾计划制定一份转换指南,但尚未公布。从技术上讲,转换证书应该不是什么大问题,因为这两个计划都是基于通用标准的。但是,由于没有发布指导文件,市场上出现了不确定性。
问:EUCC计划如何应对云服务或物联网等新兴技术?
答:Javier Tallón:
EUCC计划是技术中立的,可以认证任何可以唯一识别的产品。物联网产品不是问题,但云计算因其复杂性而面临更多挑战。虽然EUCC计划可以应用于云产品,但它不一定总是最合适的一种。其他方案,如专门针对云服务的EUCS,可能更合适。关键是要灵活运用,找到结合使用这些方案的方法。
问:互认协议的地位如何?
答:Javier Tallón:
互认协议更多的是一个政治问题,而不是技术问题。互认协议在许多层面上存在不一致的情况,尽管欧盟委员会正在努力建立此类协议,但目前的CCRA提案从法律角度来看是不可接受的。像Applus+这样的大型实验室可以为同一产品同时颁发EUCC和NIAP证书,前提是他们必须获得必要的授权。
问:站点证书及其在EUCC计划中的再利用情况如何?
答:Javier Tallón:
根据EUCC计划,现行法规不允许签发新的站点证书。不过,可以选择重复使用现有的站点证书,如使用STAR报告或遵循法国机构公布的ALC重新利用方案,该方法将来可能成为最先进的文件。预计将针对技术方面进行调整以符合立法要求,确保再利用的可行性。
问:CRA将如何影响支付行业,包括智能卡和终端设备?
答:Jose Manuel Pulido:
信用卡本质上是智能卡,其安全IC平台和操作系统将通过EUCC认证。但是,这些卡上的支付应用目前没有义务接受通用标准或EUCC评估的,因此可能需要使用其他评估方法来证明该应用符合CRA标准。对于交互点设备等支付终端,预计将使用相关保护配置文件通过EUCC认证。支付行业的后端部分可能被视为远程数据处理解决方案,需要进一步明确其合规要求。
问:CRA的移动设备产品类别是什么?
答:Jose Manuel Pulido:
移动设备不属于关键或重要类别;它们被视为默认产品。但是,操作系统等个别组件可能属于重要类别,需要符合CRA的要求。智能手机或平板电脑等完整产品目前不属于关键或重要类别。
问:用于开发或配置芯片的免费软件是否受CRA的管制?
答:Jose Manuel Pulido: 、
如果开放源代码被用于商业产品中,那么它就属于需要遵守CRA要求的产品的部分。纯开源项目的情况更为复杂,但一般来说,如果它们是商业交易的一部分,就需要遵守相关规定。
问:CRA关键和重要的第1类和第2类产品是否需要根据EUCC的高级别进行认证,即使没有最先进的文件?
答:Jose Manuel Pulido:
CRA没有强制要求EUCC认证。该法规可能会随着未来的实施法案而发展,但目前,关键类产品是强制认证的主要候选对象。对于关键和重要的第1类和第2类产品,EUCC的高级认证要求将取决于法规和授权法案今后的发展情况。
问:EUCC 计划要投入运行,面临的主要挑战是什么?
答:Javier Tallón:
短期内的主要挑战是避免扰乱市场。关键是要确保向EUCC计划的过渡不会破坏现有流程。从中期来看,重点应放在接触最终用户和提供真正的价值上。重要的是,要看欧洲公民是否会选择通过EUCC认证的产品。
Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.
They allow the operation of the website, loading media content and its security. See the cookies we store in our Cookies Policy
They allow us to know how you interact with the website, the number of visits in the different sections and to create statistics to improve our business practices. See the cookies we store in our Cookies Policy