EUCC:建立新的欧盟通用标准体系

什么是EUCC？

欧盟通用标准认证体系（EUCC）是根据欧盟委员会的执行法案（EU）2024/482 建立的，相关法规为（EU）2019/881，通常称为网络安全法案（CSA）。

EUCC是根据CSA要求创建的第一个组织。还有一些其他组织正在计划中：特别是EU5G和EUCS。而且，还将有更多计划相继推出！

EUCC体系旨在制定规则和义务，以及信息和通信技术（ICT）产品认证的结构。该计划利用了已建立的国际标准，尤其是信息技术安全评估通用标准（ISO/IEC 15408）和通用评估方法（ISO/IEC 18045），并要求由经认可的ITSEF进行第三方符合性评估。

证书有效期最长为五年，除非经NCCA（西班牙国家网络安全认证机构）授权延长此有效期。

保障级别：

EUCC使用通用标准的脆弱性评估类别 (AVA_VAN)，组件1到5。该组件将显示CSA的 "初级"和 "高级"，具体如下：

可参考的EUCC的相关见解：

除了EUCC引入的变化之外，还有一些重要方面需要考虑，超出了当前国家通用标准方案的现行做法：

• 补丁管理: 补丁管理是指在信息和通信技术产品中系统安装更新（补丁）的机制。补丁管理的主要目的是确保系统和应用程序处于最新状态，并能抵御已知的安全威胁和漏洞，从而符合保证连续性的原则。
  
  补丁管理可纳入评估范围，并将据此进行评估。这些范围内的机制将允许向开发者的产品推送安全更新，同时保持已颁发证书的有效性。
  
  来自jtsec（Applus+ Laboratories旗下公司）的网络安全专家通力合作，为《通用标准》提供了补丁管理机制的完整模型。请参阅最新版本的ISO SC27 WG3技术报告《Towards Creating an Extension for Patch Management for ISO/IEC 15408 and ISO/IEC 18045》。

• 漏洞处理流程: 在EUCC框架下，持有EUCC证书的实体必须建立并执行详细的漏洞管理协议。这包括开发人员生成漏洞监控和漏洞修复的流程，并将结果有效传达给利益相关者。 

因此，EUCC体系中的任何评估都应基于ALC_FLR的使用。市场监督和积极监测将被实施，以检测市场上的产品是否存在可能影响证书状态的任何漏洞。

• 认证信息： 申请者应准备并公开提供： 
  • 为协助终端用户进行ICT产品或ICT服务的安全配置、安装、部署、操作和维护而提供的指南和建议。 
  • 向最终用户提供安全支持的期限。 
  • 提供制造商或供应商的联系信息。 
  • 接收最终用户和安全研究人员提供的漏洞信息程序或方法。 
  • 列出与信息和通信技术产品、服务或程序有关的公开披露的漏洞和安全建议的在线资料库。 
• 最新文件：ENISA文件和EUCC实施法案附件I、II和III中公布了 EUCC合规文件的最新技术。其中一些文件借鉴了通用标准体系。敬请关注！ 

EUCC是否符合即将出台的CRA？

EUCC方案和网络安全法案（CRA）相辅相成以确保合规性，然而，要完全符合CRA，需要在EUCC中采取进一步的行动。Applus+ Laboratories协助欧洲网络与信息安全局（ENISA）识别和分析两项法规之间的差距，以及符合CRA所需的EUCC变通方案。