EU Regulation 2019/881 (Cybersecurity Act)
|
適合讀者:大學以上程度|法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。 |
三、法規架構與範圍
3.1 法規結構概覽
Regulation (EU)
2019/881共計九個章節、88條條款,附錄涵蓋ENISA管理委員會組成及驗證方案技術要求。
|
章節 |
主要內容 |
|
第I章(第1-4條) |
總則:目標、定義、成員國義務 |
|
第II章(第5-12條) |
ENISA的任務與職能 |
|
第III章(第13-14條) |
ENISA內部組織架構 |
|
第IV章(第15-20條) |
ENISA的運作規則 |
|
第V章(第21-31條) |
ENISA與利害關係人的合作 |
|
第VI章(第32-49條) |
歐洲網路資訊安全驗證架構(ECCF)核心規定 |
|
第VII章(第50-59條) |
主管機關、市場監督、同儕審查 |
|
第VIII章(第60-67條) |
授權、執行措施、委員會程序 |
|
第IX章(第68-88條) |
過渡條款、廢止、修訂、生效 |
- 左支柱:ENISA 永久授權,包含知識庫 (Knowledge Hub)、政策制定 (Policy Making)、CSIRT 網絡三大職能
- 右支柱:歐盟認證框架,分為 Basic、Substantial、High 三個保證等級
- 周邊關聯法規:GDPR、NIS2、AI Act、Cyber Resilience Act,箭頭顯示相互影響關係
3.2 適用範圍
該CSA條例適用於在歐盟市場銷售或提供使用的所有ICT產品、服務及流程:
l ICT 產品
(Products): 如路由器、IoT 設備、智慧家電、工業控制系統
(ICS)。
l ICT 服務
(Services): 如雲端運算服務 (Cloud Services)。
l ICT 流程
(Processes): 如軟體開發生命週期 (SDLC)、漏洞管理流程。
然而,特定領域存在排除適用CSA條例或特別規定:
|
⚠️ 重要排除事項 |
|
1. 國家安全相關產品:涉及國防、情報活動及軍事用途的ICT系統資安產品,各成員國可依TFEU第346條豁免,各成員國自行決定。 |
|
2. EU 2018/1139(民用航空安全):民航相關的航空器、無人機及航空通訊設備的資安,ICT系統由歐洲航空安全局
(EASA) 依據專屬法規管轄,並負責驗證,以確保飛航安全與資安的整合。不適用CSA條例的ECCF驗證架構。 |
|
3. 核能設施相關:依Euratom條約另行規範 |
|
4. 已受NIS 2監管的特定實體:驗證方案可與NIS 2要求整合但不重疊 |
|
5. 純研發用途的ICT產品:未正式進入市場者暫不適用 |
|
6. 特定醫療器材雖受 CSA 影響,但主要仍受
MDR (Medical Device Regulation)或IVDR (In vitro Diagnostic Medical
Device Regulation) 的嚴格規範。 |
3.3 自願性與強制性驗證
該CSA條例第49條明確規定,驗證架構原則上為「自願性」(voluntary)。但第49條第7款同時允許歐盟法規或各成員國法律將特定驗證設為強制性。已知的強制驗證趨勢包括:
● 關鍵基礎設施相關ICT產品(能源、交通、金融)
● 連網醫療器材(與MDR/IVDR整合)
● 公共採購中的ICT產品(2024年後逐步強制)
● 高保證等級的政府通訊系統
四、ENISA的角色、職責與CSIRT
4.1 ENISA的演進
ENISA成立於2004年(Regulation (EC) No 460/2004),歷經2013年(Regulation (EU) No 526/2013)的任期延展,至2019/881方才獲得永久授權。這項轉變具有里程碑意義,反映歐盟對網路資訊安全治理的長期承諾。
4.2 ENISA的核心職能(共10大類)
|
職能類別 |
具體內容 |
|
① 政策支援 |
協助歐盟機構及成員國制定與執行網路資訊安全政策,每年發布威脅形勢報告 (Threat Landscape) 提供技術建議及政策分析 |
|
② 能力建構 |
協助成員國提升國家網路資訊安全能力,特別是CSIRT的建立與運作 |
|
③ 知識與情資 |
維護歐洲網路資訊安全威脅態勢資料庫(European Cyber Threat
Intelligence),發布年度威脅態勢報告(ENISA Threat Landscape,ETL) |
|
④ 市場、驗證與標準化 |
協助制定驗證方案,與CEN、CENELEC、ETSI等標準化機構合作推動調和標準; |
|
⑤ 研究與創新 |
支援EU研究架構(Horizon Europe)中的網路資訊安全研究,協調JRC等機構 |
|
⑥ 國際合作 |
代表EU參與FIRST、ITU-T SG17等國際網路資訊安全組織 |
|
⑦ 演習與訓練 |
每年舉辦「Cyber Europe」大規模跨國網路資訊安全演習 |
|
⑧ 事件應對支援 |
協調重大跨境事件的應對,支援各國CSIRT,事態嚴重時並可能觸發驗證撤銷機制 |
|
⑨ 公眾意識 |
推動歐洲網路資訊安全月(European Cybersecurity Month,ECSM) |
|
⑩ 驗證架構管理 |
接受委員會委託起草EUCC、EUCS
等驗證計畫/驗證方案,維護ECCF的技術一致性 |
圖 4-1 ENISA 組織職責圖:呈現 ENISA 與各機構間之協作關係
圖中展示 ENISA 在歐盟網路安全治理架構中之 樞紐角色:
- 上方:歐盟委員會 (European Commission) — 政策指導
- 左側:成員國主管機關 — 市場監督
- 右側:認證機構 (CABs) — 第三方審核
- 下方:CSIRTs — 事件應變
- 協調機構:ECCG (歐洲網路安全認證集團)
核心價值:釐清各機構間之權責劃分與資訊流向。
4.3 CSIRT(電腦資安事件應變小組)網路
ENISA作為EU-CSIRT網路(CSIRTs Network)的秘書處,協調各成員國的國家/政府CSIRT進行資訊交換。CSIRTs Network依NIS 2第14-15條強制建立,其職責包括:
● 提早預警:跨國資安事件的早期通報
● 事件協調:重大事件中的多國協調應對
● 最佳實務分享:安全設定、漏洞揭露流程等
● 演習協調:與Cyber
Europe演習整合
|
ENISA 2024年預算與人員規模 |
|
年度預算:約2,300萬歐元(2023年),2024年增至約2,500萬歐元 |
|
員工人數:約250人(雅典與赫拉克利翁兩地) |
|
ETL報告:每年發布,涵蓋15+威脅類別,為歐洲網安情資的核心文件 |
五、驗證架構(ECCF)與第三方稽核
5.1 三級保證等級詳解
該CSA條例第52條定義三種保證等級,決定測試嚴格程度與所需評估活動:
|
項目 |
基本(Basic) |
顯著(Substantial) |
高(High) |
|
適用產品 |
低風險消費性ICT:智慧音響、家用IoT |
中風險:企業路由器、雲端服務 |
高風險:關鍵基礎設施、政府系統 |
|
評估方式 |
製造商自我評鑑(Self-Assessment)或簡易測試,目的是增加用戶基本信心 |
CAB執行的系統性測試、協力廠商測試,評估設計與開發流程 |
CAB全面滲透測試與原始碼審查、嚴格之協力廠商測試、威脅模擬 (Threat Simulation),評估者需具備最高等級資格 |
|
文件要求 |
技術文件、EU符合性聲明 |
詳細設計文件、安全測試報告 |
完整安全評鑑文件、獨立查證 |
|
監督強度 |
後市場監督 |
中度監督 |
嚴格持續監督 |
|
對應CC等級 |
EAL 1-2(非必要) |
EAL 3-4 |
EAL 5-7 |
顯著級 Substantial,橙色,第三方測試,企業路由器、雲端備份服務、電子政務門戶
高級 High:紅色,持續監控,SCADA 系統、國家 ID 平台、5G 核心網絡
5.2 驗證方案(Schemes)進展
|
驗證方案 |
說明 |
|
EUCC(ICT Products) |
基於通用準則(CC/ISO 15408),針對ICT硬體及軟體。2024年由EU實施法規(Implementing Act)正式採用,為首個ECCF方案。涵蓋保護剖繪(PP)開發。 |
|
EUCS(Cloud Services) |
雲端服務驗證方案,2023年發布諮詢草案,整合CSA STAR、ISO 27001,設基本/顯著/高三級。 |
|
EU5G(5G網路) |
歐盟5G安全驗證方案,基於ENISA的5G網路資訊安全指引(2019年),重點評鑑供應商多元化與網路韌性。 |
|
EUCC for ICS/OT |
工業控制系統及操作技術驗證方案,開發中,與IEC 62443深度整合。 |
|
候選方案(正在評估) |
IoT設備安全、人工智慧系統安全、量子抗性密碼應用等新方案正在研究階段。 |
5.3 第三方稽核與符合性評鑑機構(CAB)
取得「顯著」或「高」保證等級驗證,必須通過獨立的符合性評鑑機構(CAB)評鑑。CAB的資格要求包括:
● 依ISO/IEC
17065(產品驗證機構)或ISO/IEC
17025(測試實驗室)的認證
● 由成員國之國家認證機構(NAB)認證,NAB本身須為EA(歐洲認證合作組織)成員
● 具備針對特定產品類別的技術能力(Technical Competence),需定期接受NAB的監督評鑑
● 跨境服務:獲得一個成員國認證之 CAB ,可在整個歐盟提供服務,但需接受目的地國主管機關之監督
● 「高」等級評鑑的CAB,還須具備先進攻擊場景(AVA_VAN.5)的滲透測試能力
5.4 稽核流程(Audit
process)
1. 申請人向選定的評鑑機構(CAB)提交申請,附上技術文件及佐證資料;
2. (如 SGS, TÜV, BSI 等經過成員國認證的稽核機構)CAB執行相關稽核,包括各項步驟:
l 文件審查(Desktop Review):檢查技術文件是否符合法規及標準要求
l 顯著/高等級:CAB執行實驗室測試、模糊測試 (Fuzzing)、密碼學查證、漏洞/弱點掃描及穿透性測試等現場評鑑;
l 現場稽核 (Site
Audit):針對「高」級別或流程驗證,稽核員會實地訪查開發環境的安全性(實體安全、存取控制)。
l 凡是不符合事項,受稽核機構(申請者)須在給定期間內,做成矯正、矯正措施(若適用時,尚須預防措施),回覆CAB,以佐證其ICT產品及服務的有效及安全。
3. CAB出具稽核與評鑑報告,送交主管機關(對應「高」等級)
4. 頒發歐洲網路資訊安全憑證(ECC),有效期依方案規定(通常為3至5年)
5. 持續監督:主管機關執行後市場監督,若適用的驗證方案要求,由CAB執行年度複核
6. 失效:若發現重大漏洞未修復,證書可被暫停或撤銷。
5.5 技術文件(Technical
Documentation)
製造商必須準備申請ICT產品或服務之詳盡的技術文件,包括:(非完整列出)
l 架構與設計圖: 產品或服務的系統架構、信任邊界 (Trust
Boundaries)、資料流圖。
l 風險與威脅建模 (Threat Modeling): 如 STRIDE 模型分析,包括識別、評估與處理風險。
n 產品在發布前透過 SBOM 掃描發現的 已知缺陷 (Known Defects)。法規不允許產品帶著「未修補且可被利用的高危漏洞」上市。
n 新興風險 (Emerging Risks): 如量子計算對現有 RSA/ECC 加密演算法的威脅,以及 AI 生成的自動化攻擊。風險評鑑報告必須具備「前瞻性」,並展示產品的密碼敏捷性 (Crypto-agility)。
l 材料清單 (SBOM - Software Bill of Materials):
詳列所有開源與第三方元件,以利追蹤已知漏洞 (CVEs)。
l 用戶手冊與安全配置指南: 指導終端用戶如何安全地部署與更新設備。
l 自我宣告 (僅限 基本Basic 級別): 製造商內部檢驗後起草符合性聲明 (DoC)。
(未完,見續篇)
