什么是EUCC认证?
EUCC是根据欧盟委员会实施法案条例(EU) 2024/482建立的基于通用标准的新体系。所有信息与通信技术(ICT)产品都可以使用新认证计划的规则进行认证。
Applus+ Laboratories 在通用标准和网络安全评估方面拥有超过20年的经验,可作为ICT产品供应商和制造商的评估实验室 (ITSEF)*,证明其产品符合 EUCC计划的 "实质性"或 "高"保证级别。这不仅有利于产品进入欧盟内部市场,还能增强消费者对ICT产品安全性的信心。
EUCC认证的好处
下面列出了EUCC认证的几点好处:
- 信任: EUCC认证是一种质量和安全证书,可以增强用户和客户对ICT产品的信任。
- 法规遵从性: 它有助于ICT产品遵守欧盟网络安全法规和标准,这对在欧洲市场发展至关重要。
- 市场竞争力: EUCC计划下的认证产品在市场上脱颖而出,提供了显著的竞争优势。
- 风险降低:评估和认证有助于识别和减轻安全风险,保护供应商和最终用户免受潜在的网络威胁。
EUCC评估范围:产品和保证水平
EUCC方案适用于面向欧盟内部市场的广泛ICT产品或保护简介。这些ICT产品基本上必须符合《网络安全法》(CSA)EUCC计划规定的“实质性”或“高”保证水平,基本上纳入了《通用标准》第2部分中的安全要求。
例如,一些ICT产品:
- 网络设备,如访问接入点、防火墙、负载均衡设备等。
- 操作系统和应用程序,如linux、移动应用程序等。
- 硬件安全箱,如(支付)互动点和支付终端、数字行车记录仪等。
- 智能卡片和类似设备,如机器可读旅行证件、身份识别、安全元件、javacard/multos平台等。
如何获得EUCC认证?
如果您想启动评估程序,请考虑以下步骤:
- 根据您对产品安全的期望,选择产品的保证级别。
- 根据保护简介(附件 II)(如有)编写您的安全目标。
- 如果是高保证,则考虑与技术领域文件相关的最新技术领域文件。
- 准备接受评估的技术文件(第 7 条)。
- 准备与漏洞监控和处理流程以及补丁管理相关的信息。(第 27 条和附件 IV.3)。
- 制定非符合项补救措施程序(第 29 条)。
- 让您的 ITSEF 和CB参与进来,启动认证流程。Applus+ Laboratories可以帮助您,欢迎联系我们!
如下所示为评估流程:
Applus+ Laboratories是否获得认证和授权执行EUCC评估?
Applus+ Laboratories已经充分获得认证和授权,可以执行EUCC评估。自2024年二月起,我们成为获得认证的EUCC ITSEF,选实CSA级别重要(AVA_VAN.1和AVA_VAN.2)和高级(从AVA_VAN.3起)。
Applus+ Laboratories成功地在当前国内通用出例模型和SOGI-S下进行Common Criteria评估,并为您提供最佳的评估服务,并依靠广泛的专业经验,提供:
- 基于EAL的评估。
- 基于PP的评估。
- 技术领域(用于高级保障)。
对EUCC实施的重要日期和指南
EUCC方案于2024年2月27日正式生效,完成国内Common Criteria方案下的项目截止日期为2026年2月27日。目前,EUCC以自愿方案运行,由制造商——或应对最终客户需求——决定是否采用Common Criteria(现为EUCC)进行安全评估。
然而,像网络安全治理条例(CRA)这样的规章可能要求某些产品必须遵守EUCC。尽管仍然可能在国内方案下进行评估,但这必须在2026年2月之前完成。然而,由于不能满足截止期限的风险,不建议采用该方案。
