EU Regulation 2019/881 (Cybersecurity Act)
| 適合讀者:大學以上程度|法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
摘要(Executive Summary)
歐盟《網路資訊安全法》(EU Cybersecurity Act,即歐盟條例Regulation (EU)
2019/881)於2019年6月27日正式生效,是歐盟在資通訊技術(ICT)安全領域的重大立法里程碑。該CSA條例建立了兩大核心支柱:其一,強化並永久授權歐盟網路資訊安全局(ENISA)的職能;其二,建立歐盟統一的ICT產品、服務及流程網路資訊安全驗證架構(European Cybersecurity Certification Framework,簡稱ECCF)。
本短文遵循「撰寫→核校→修訂」三步驟品質管制流程,涵蓋法規背景、關鍵術語定義、適用標準、驗證機制、市場監督、相關法規連動(GDPR、NIS
2、EU AI Act等)、主要利害關係人義務、專業職人、國際比較分析,實際案例,以及弱點暨改進建議事項,旨在協助產業界、學術界、驗證業及政策制定者全面理解以資遵循該項歐盟CSA條例。
|
🔑 五大核心要點 |
|
① ENISA獲得永久授權,成為歐盟網路資訊安全核心機構 |
|
② 建立自願性(部分強制性)ICT安全驗證架構,取代碎片化的各國既有方案 |
|
③ 三級保證等級(基本/顯著/高)對應不同產品風險 |
|
④ 驗證架構與GDPR、NIS 2、AI Act、無人機歐盟法規等形成法規生態系統 |
|
⑤ 2024年後強制驗證範疇持續擴大,預估2031年市場規模達750億歐元 |
一、背景與立法沿革
1.1 立法動機
隨著數位化進程加速,物聯網 (IoT)、雲端運算(Cloud
Computing)與 5G 技術普及,2013年至2015 年之歐盟網路安全策略已指出,缺乏統一的驗證機制導致市場信任度不足,增加了跨國貿易的合規成本。2013年至2017年間,歐盟各成員國資安事件頻發,網路攻擊的頻率與破壞力急遽上升。2017年WannaCry勒索軟體攻擊造成全球損失逾40億美元,波及歐盟多個關鍵基礎設施;2016年Mirai殭屍網路攻擊則凸顯物聯網(IoT)裝置安全嚴重不足。與此同時,各成員國各自發展網路資訊安全驗證方案,造成以下問題:
● 市場碎片化(Market Fragmentation):德國BSI-C5、法國ANSSI-CSPN等驗證互不承認,企業需重複取證,增加成本。
● 監管套利:廠商傾向在標準較低的國家取得驗證,再於全歐銷售。
● 消費者信任缺失:終端用戶無法判斷ICT產品、服務、流程的安全等級。
● 數位單一市場阻礙:歐盟數位單一市場策略((Digital Single Market, DSM)的落實受到碎片化驗證的牽絆。
1.2 立法沿革時間軸
|
時間節點 |
重要事件 |
|
2013年2月 |
歐盟委員會發布首部《網路資訊安全策略》, |
|
2016年7月 |
《網路與資訊系統安全指令》(NIS 1, 2016/1148)生效 |
|
2017年9月 |
委員會提出《網路資訊安全法》草案(COM(2017) 477) |
|
2018年12月 |
歐洲議會與理事會達成三方協議(trilogue) |
|
2019年4月17日 |
歐洲議會正式通過(P8_TA(2019)0189) |
|
2019年6月27日 |
《歐盟網路資訊安全法》(EU
Regulation 2019/881正式生效 |
|
2021年1月28日 |
ENISA開始依新架構運作 |
|
2022年1月27日 |
NIS 2指令(2022/2555)取代NIS
1,與該CSA條例深度連動 |
|
2024年3月 |
首批候選驗證架構(EUCC for ICT products)草案諮詢 歐盟正式通過 EUCC 作為第一個驗證計畫實施條例 (Implementing
Regulation 2024/482) |
|
2025年起 |
國家級認可機構
(NCCA) 可開始授權
CAB,並正式核發
EUCC 證書,部分強制性驗證預計逐步生效 |
|
2025-2027 年 |
預期
EUCS 與 EU5G 陸續實施。隨著《網路韌性法》(CRA)
預計於 2027 年全面施行,CSA 的基礎將被大量引用,將許多自願性驗證轉為強制性驗證 |
1.3歐洲的網路資訊安全產品策略 (European Product Strategy for Cybersecurity):
1. 核心在於「數位主權 (Digital Sovereignty)」與「設計即安全 (Security by Design)」,包含多項核心企圖:
l
安全設計
(Security by Design):要求產品在開發階段即內建安全機制。
l
韌性
(Resilience):不僅防範攻擊,更強調受攻擊後的恢復能力。
l
信任標籤化
(Trust Labeling):透過驗證標籤讓消費者與企業用戶能快速識別產品安全等級。
2. 統一市場與互相承認機制,促成互操作性 (Interoperability): 透過建立歐盟級別的資安驗證架構,實現「一國驗證,全歐盟通行」,降低企業合規成本。
3. 提升全球標準制定權: 歐盟企圖透過 CSA 結合 GDPR,將「布魯塞爾效應 (Brussels Effect)」延伸至資安領域,迫使全球 ICT 供應商(包含美、中、台製造商)為了進入歐洲市場而提升供應鏈透明度,強化對ICT
產品、服務及流程建立可信賴的安全基準,確保產品安全穩定地立足在最高層級。
4. 從自願到強制的過渡: 雖然 CSA 初期多屬自願性驗證,但配合新版《網路資訊安全韌性法案》(Cyber Resilience Act, CRA) 與 NIS2 指令,未來針對關鍵基礎設施的 ICT 產品,CSA 驗證將成為實質上的強制市場准入條件。
此項資訊安全策略與《歐洲晶片法案》(European Chips Act) 及《網路韌性法案》(Cyber Resilience Act, CRA) 相輔相成,構成歐盟硬體與軟體安全的雙重防護網。
1.4條例的雙重支柱結構
歐盟2019/881條例的核心結構可分為兩大支柱,站穩立場,相輔相成:
|
支柱 |
核心內容 |
|
支柱一: 強化ENISA |
將ENISA從臨時性機構轉型為永久授權機構,增加預算,擴大職責至涵蓋驗證、事件應對協調、市場情資、歐洲CERT網路協調等 |
|
支柱二: 驗證架構(ECCF) |
針對
ICT 產品、服務與流程,建立統一的驗證方案(Schemes), 採三級保證等級(Assurance Levels): 基本
(Basic)、顯著
(Substantial)、高
(High)。 取代各國零散驗證,提升數位單一市場互信 |
二、關鍵術語定義與特殊名詞解釋
以下術語均來自Regulation
(EU) 2019/881或相關配套文件,並附實務解釋。
|
術語 |
定義與說明 |
|
ENISA |
European Union Agency for Cybersecurity(歐盟網路資訊安全局)。該CSA條例的核心執行機構,永久授權,總部設於雅典及赫拉克利翁。 |
|
ECCF |
European Cybersecurity Certification Framework(歐洲網路資訊安全驗證架構)。針對特定類別產品所制定的具體驗證規則,提供統一的驗證架構,各驗證方案(Scheme)在此架構下建立。 |
|
驗證方案(Scheme) |
針對特定ICT產品類別訂定的驗證規則集,例如EUCC(ICT產品通用準則驗證方案)、EUCS(雲端服務驗證方案)。 |
|
保證等級(Assurance Level) |
分為「基本(Basic)」、「顯著(Substantial)」、「高(High)」三級, 對應不同的測試嚴格程度與安全需求。 |
|
Basic (基本): |
抵禦已知、基本的網路攻擊。允許製造商「自我宣告符合性 (Self-assessment)」 |
|
Substantial
(顯著) |
抵禦具備有限資源與技能的駭客。需由第三方機構進行審查 |
|
High
(高) |
抵禦具備豐富資源與高超技能的國家級駭客 (APT)。強制要求由國家授權的高級第三方機構進行源碼級或滲透測試審查 |
|
ICT產品(ICT Product, 資通訊產品) |
指網路或資訊系統的任何元素或組件(硬體與軟體),包括硬體、軟體及其組合,例如路由器、作業系統、智慧裝置、工業控制系統等。 |
|
ICT服務(ICT Service) |
透過ICT系統提供的服務,例如雲端運算、受管安全服務、身分查證服務。 |
|
ICT流程(ICT Process) |
軟硬體開發、維護、供應等過程,重視安全生命週期管理。 |
|
符合性評鑑機構(CAB) |
Conformity Assessment Body,具資格對ICT產品進行驗證評估的機構。經國家認證,負責依照ISO/IEC 17025執行第三方測試的獨立實驗室,並依照ISO/IEC
17065執行產品驗證的機構。 |
|
國家驗證機構(NAB) |
National Accreditation Body,如台灣的TAF,負責對CAB進行認證(Accreditation)。 |
|
(NCCA) |
國家網路資訊安全驗證主管機關National
Cybersecurity Certification Authority:各成員國指定的政府單位,負責監督 CAB 並核發「高」級類別證書。 |
|
主管機關(Competent Authority) |
各成員國指定的監督機構,負責執行驗證架構、市場監督及處理違規。 |
|
供應商自我評鑑(Vendor Self-Assessment) |
基本保證等級類別允許的評估方式,製造商自行聲明符合性。 |
|
同行評審(Peer Review) |
成員國之間針對認證機構能力與認證結果進行的相互審查機制,以確保一致性。 |
|
網路資訊安全(Cybersecurity) |
保護網路、資訊、系統、產品、服務及流程免受網路威脅之活動,確保其可用性、完整性、機密性。 |
|
網路資訊安全風險(Cybersecurity Risk) |
潛在損失或破壞的可能性,源於人為或非人為威脅對ICT資產的攻擊或利用。 |
|
歐洲網路資訊安全憑證(ECC) |
European Cybersecurity Certificate,依驗證方案頒發給符合要求的ICT產品/服務/流程的憑證。 |
|
CSIRT |
Computer Security Incident Response Team,電腦資安事件應變小組,負責偵測、通報及協調處理網路資安事件。 |
|
NIS 2 |
Directive (EU) 2022/2555,第二代網路與資訊系統安全指令,要求「重要實體」採取安全措施,與該CSA條例驗證架構深度整合。 |
|
零信任架構(ZTA) |
Zero Trust Architecture,ENISA在政策文件中推廣的安全模型,強調持續查證而非隱性信任。 |
|
供應鏈安全 |
ICT供應鏈各環節(設計→生產→交付→維護)的安全風險管理,為該CSA條例重要政策目標。 |
|
漏洞揭露(VD) |
Vulnerability Disclosure,當ICT產品存在安全漏洞時,製造商、研究人員與主管機關的協調揭露機制。 |
|
通用準則(CC) |
Common Criteria,ISO/IEC 15408,用於ICT產品安全評估的國際標準,為EUCC驗證方案的技術基礎。 |
