欧盟信息和通信技术产品认证共同框架

2024年1月31日，欧洲委员会通过“基于欧洲通用标准的网络安全认证计划”（EUCC），这是欧盟首个用于认证信息与通信技术（ICT）产品的网络安全计划，符合欧盟网络安全法的目标。

该计划提供了一整套规则，以确保ICT产品在其生命周期内的可信度。ICT产品指以数字形式电子访问、处理、存储、传输或获取信息的商品。这些产品涵盖无线和智能设备，同时也包括技术组件，如芯片、智能卡、硬件和软件。通用标准（CC）实验室是ICT安全认证实验室，负责采用经授权的标准化方法评估ICT产品的安全性。根据欧盟网络安全局（ENISA）数据，全球一半以上的通用标准实验室位于欧洲，而每年颁发的350个通用标准证书中有60%系欧盟发放。

EUCC计划实施的第一阶段大约为期一年，着重建立公共和私人的合格评定机构（CABs）。目前，欧盟网络安全局正在制定另外两个网络安全认证计划，分别针对云服务和5G安全。同时，他们也在评估其他项目的可行性，包括人工智能网络安全认证和电子识别、认证和信任服务（eIDAS）认证战略。

EUCC计划属于2019年网络安全法下的欧盟网络安全认证框架。2023年4月，委员会提出对网络安全法进行有针对性修正，将欧洲网络安全认证框架扩展到托管的安全服务，让后者也能受益。托管安全服务是指执行或支持客户网络安全风险管理活动的服务。对于欧盟而言，这些服务在预防和缓解网络安全事件方面变得越来越重要。通过EUCC计划，欧盟希望引入一种更迅速、更有效的认证机制，使企业在各国、欧盟和全球范围内保持竞争力。

EUCC计划不仅会协调各国认证计划，还将为网络弹性法案和修订后的网络与信息安全指令（NIS2）等法规提供重要补充。

关注“广东技术性贸易措施”，获取更多服务。