EUCC vs CCRA SOGIS: 新要求、新挑战和新改进

21/11/2024

    本文观点基于Nuria Carrió (Applus+ Laboratories网络安全认证技术经理) 在Applus+ Laboratories于2024年10月组织举行的EUCC计划网络研讨会上的演讲

    根据《网络安全法案》(CSA)制定的EUCC(基于欧洲通用标准的网络安全认证)体系旨在统一整个欧洲的网络安全认证。本文将深入探讨EUCC计划的主要方面,与之前CCRA/SOGIS体系的不同之处,以及对制造商和利益相关者的影响。

    范围和连续性

    EUCC体系适用于所有信息和通信技术产品以及保护框架文件,与之前的通用标准体系(CCRA和SOGIS)的适用范围相同。核心评估方法仍以通用标准为基础,并将2022年版本纳入EUCC流程。该体系继续在第三方评估方案下运作,涉及认证机构(CB)和评估机构(ITSEF)。需要注意的是,之前只允许公共认证机构参与认证,但EUCC拓展为允许私营认证机构参与其中。

    利益相关者和时间线

    EUCC体系的主要利益相关方包括国家认可机构、国家网络安全认证机构 (NCCA)、认证机构和ITSEF。国家网络安全认证机构NCCA在监督和授权高保证级别方面发挥着至关重要的作用。EUCC 计划于2024年2月生效,与国家通用标准体系有一年的共存期。到 2025年2月,所有新的评估都必须遵守EUCC体系,正在进行的评估必须在2026年 2月之前结束。

    新的义务和要求

    制造商应提供产品的预期用途和风险分析,确保所选保证级别的适用性。EUCC体系引入了具体的义务,包括一般承诺、补充安全信息可用性和监控活动。制造商必须通报漏洞和违规行为,并在30天内对违规行为采取补救措施。

    最新文件和相互认可

    EUCC体系依赖于评估方法、工具和安全要求以及认证相关要求方面的最新文件。这些文件是强制性的,包括智能卡的认证和技术领域以及硬件安全盒要求。虽然没有第三方国家的相互认可,但如果符合特定标准,非欧盟国家也可以认可EUCC认证。目前正在努力协调各种变化,并制定新的承认协议。

    保护框架和保证级别

    EUCC体系下的保护框架文件必须由公共机构进行认证,并得到欧洲网络安全认证小组的认可。该体系支持关键信息和通信技术产品在具体应用场景下的高保证等级(EAL4 和 EAL5)。EUCC还规定了保证连续性的漏洞处理流程,要求制造商有效监控和管理漏洞。

    补丁管理和标志

    EUCC体系包括补丁管理规定,这允许制造商更新该领域的产品。这一过程包括开发和发布补丁、建立采用补丁的技术机制以及评估补丁的有效性。虽然加贴EUCC标志是自愿的,但制造商如果选择这样做,就必须遵守具体的规则。

    未来的发展和挑战

    EUCC体系是一项正在进行中的工作,需要不断努力维护和更新最新文件。需要就监测流程、站点认可以及与《网络弹性法案》(CRA)等其他法规之间的相互作用提供指导。该体系旨在避免市场混乱,确保制造商和利益相关者的平稳过渡。

    总之,EUCC体系是协调欧洲网络安全认证的重要一步。通过履行新的义务、维持最新的标准和促进相互认可,EUCC旨在为ICT产品认证提供一个强大的框架,确保整个地区ICT产品的网络安全水平保持一致。

    下载PPT

    以下观看完整视频:

    Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

    Cookie settings panel