EU Regulation 2019/881 (Cybersecurity Act)
| 適合讀者:大學以上程度|法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。 |
十六、真實法律案例研究
案例一:Solar Winds供應鏈攻擊(2020年)與歐盟的政策回應
2020年12月揭露的SolarWinds Orion軟體供應鏈攻擊,被植入惡意更新的軟體波及美國政府多個部門及歐盟機構(包括歐洲藥品管理局EMA被波及)。此案直接催化歐盟加速推動以下措施:
● ENISA發布《ICT供應鏈安全指引》(2021年),為ECCF供應鏈評估要求奠基
● 歐盟委員會加速NIS
2立法,強制要求供應鏈安全評估
● SBOM(軟體物料清單)要求被納入CRA草案核心要素
● 歐盟理事會就「對歐盟機構構成威脅的供應鏈攻擊」通過結論,強調ECCF驗證的重要性
案例二:德國AV-TEST事件——驗證範圍爭議
德國知名安全測試機構AV-TEST於2022年發現,市場上數款已取得德國BSI IT-Grundschutz驗證的企業路由器存在嚴重未修補漏洞。此案引發:
● 德國主管機關(BSI)與製造商之間關於「驗證後安全更新義務」的法律爭議
● BSI首次援引保障條款要求製造商在45天內提供更新,否則撤銷認可
● 此案成為ECCF在設計「持續監控」和「漏洞後更新義務」條款的重要參考
案例三:歐盟機構網路資訊安全局(CERT-EU)事件
2023年,CERT-EU(歐盟機構網路資訊安全應急小組)通報多個已被攻擊的歐盟機構使用的ICT軟體含有嚴重漏洞,且部分廠商在通報後超過180天仍未提供修補程式。此案推動:
● 歐洲議會正式呼籲加速ECCF「高等級」驗證對政府ICT採購的強制適用
● ENISA更新CVD指引,將「180天修補承諾」明確納入驗證方案草案要求
案例四:EUCS延宕的地緣政治案例
EUCS雲端驗證方案的起草過程中,因美國雲端服務提供商(AWS、Microsoft Azure、Google
Cloud)被要求將歐洲資料儲存完全隔離於美國司法管轄之外,造成:
● 法國、德國力推「主權雲(Sovereign Cloud)」要求,而荷蘭、愛爾蘭擔心阻礙數位競爭力而反對
● ENISA多次修訂草案,截至2024年底仍未最終採用,成為ECCF進度最滯後的方案
● 此案揭示:技術標準制定常被地緣政治與產業利益高度政治化
十七、尚待改進事項與改進建議
17.1 待改進事項
l 驗證計畫推出過慢: 自 2019 年通過以來,EUCC 直到 2024 年才正式確立,EUCS (雲端) 因涉及「資料主權」(是否允許非歐盟企業控制資料) 的政治爭議而延宕,導致產業界無所適從。
l 中小企業支援不足: 宜提供對 SMEs 的財務補貼或簡化版驗證流程,避免扼殺歐洲本土新創的競爭力。
l 硬體與軟體生命週期的脫節: 軟體更新頻繁,現有驗證體系偏向傳統硬體思維。亟需引入更靈活的「持續性合規 (Continuous Compliance)」機制。
17.2法規面改進
● 強化直接罰款機制:2019/881應修訂加入直接罰款條款,避免各國執法落差,建議最低限額為全球年營業額1%
● 加快強制驗證範圍擴大:對電力、水資源、金融等關鍵基礎設施ICT產品應加快強制驗證時程
● 動態驗證機制(Living Certificate):針對頻繁更新的軟體,引入持續監控替代重新驗證,降低軟體廠商負擔
17.3 技術面改進
● 自動化評鑑工具標準化:ENISA應推動EU統一的自動化安全測試工具套件,降低評鑑成本
● SBOM強制要求:在「顯著」及「高」等級驗證中強制要求SBOM提交和更新
● 量子安全路線圖:儘早發布後量子密碼(PQC)遷移的驗證要求路線圖
17.4 市場面改進
● SME支援計畫:設立EU層級的SME驗證補貼基金,降低中小企業取證障礙
● CAB產能擴張:與成員國合作,加速培訓和認可更多具備高等級評鑑能力的CAB
● 全球互認協議:積極與美國(NIST CSF)、日本(NISC)、英國(NCSC)推動驗證互認,降低跨市場重複評鑑成本
十八、國際比較分析
18.1 與美國架構的比較
|
比較面向 |
EU vs 美國 |
|
法規哲學 |
EU:以立法為主導,強制統合型架構與驗證分級。以預防和合規為導向,影響力涵蓋軟硬體與雲端 美國:以市場為主導,自願架構(NIST CSF 2.0)為核心,拜登政府EO 14028引入部分強制要求(聯邦採購,如FedRAMP, 國防部 CMMC),但對消費市場主要依賴 FTC (聯邦貿易委員會) 的事後懲罰機制(如對不安全產品的訴訟) |
|
驗證機制 |
EU:ECCF統一驗證,三級等級。 美國:FedRAMP(政府雲端強制)、UL Cybersecurity Assurance Program(CAP,民間自願)、CMMC(國防供應鏈強制) |
|
執法單位 |
EU:各成員國NCCA + ENISA協調。 美國:CISA、FTC、DoD(依領域) |
|
SME影響 |
EU:驗證成本對SME衝擊較大。 美國:NIST CSF提供免費架構,SME負擔相對較輕但缺乏統一驗證 |
|
量子安全 |
EU:ENISA 2023年後量子密碼建議,尚未納入驗證要求。 美國:NIST已發布PQC標準(FIPS 203/204/205),FedRAMP正制定遷移要求 |
18.2 與瑞士的比較
瑞士依《資訊安全法》(ISG, 2022年生效)建立國家資安架構,其特點:
● BABS(聯邦民防局)下的NCSC(國家網路資訊安全中心)為主管機關,但職能遠小於ENISA
● 瑞士非EU成員,ECCF驗證在瑞士不自動有效,但瑞士正洽商與ECCF的相互認可協議,預期可在實質上接受並互認歐盟的標準,以確保雙邊貿易暢通
● 金融業依FINMA強制安全要求,嚴格程度接近EU「高」等級
18.3 與日本的比較
|
比較面向 |
EU vs 日本 |
|
法規基礎 |
日本:《網路資訊安全基本法》(2014年)、《重要基礎設施網路資訊安全行動計畫》(第5版,2022年)。主管機關NISC(內閣網路資訊安全策略本部) |
|
驗證機制 |
日本:CC驗證(JISEC,與CCRA互認)、政府資安管理驗證(GSMS)。與EU的EUCC架構技術上接軌,但各自獨立 著重於公私協力與物聯網硬體安全。由
NISC 與
METI 推動,實施針對
IoT 設備的「NOTICE」計畫(主動掃描不安全設備)以及推廣
CC 驗證 |
|
政府採購 |
日本政府採購要求ICT產品具備JISEC驗證,與EU EUCC平行,存在互認機會 |
|
主要差距 |
日本缺乏類似ENISA的統合協調機構,各省廳分散監管,整合性不足 |
18.4 與英國的比較
英國脫歐後不再適用EU法規,建立獨立架構:
● NCSC(國家網路資訊安全中心)為核心機構,Cyber Essentials為基本驗證(類似EU基本等級)
● 英國宣布不採納ECCF,但表示將在技術層面維持相容性
● 英國與EU的《溫莎架構》未涵蓋ICT驗證互認,形成市場障礙
● 英國產業呼籲建立ECCF-NCSC雙邊互認,預計2025-2026年談判
● 實施 PSTI Act (產品安全與電信基礎設施法),強制要求消費性 IoT 設備禁止使用預設密碼、需公布漏洞揭露政策與更新支援期限。規定具體且具強制性。
18.5 與中國的比較
|
比較面向 |
EU vs 中國 |
|
法規架構 |
中國:《網路資訊安全法》(2017年)、《資料安全法》(2021年)、《個人資訊保護法》(2021年)、《關鍵信息基礎設施安全保護條例》;以國家安全主導資安進程、嚴格的資料在地化
(Data Localization),以及要求外國企業提供源代碼供國家機構審查。與歐盟的透明與市場導向截然不同。 |
|
驗證機制 |
中國:MLPS(等級保護制度)2.0版本,分1-5級。與EU三級結構類似,但強調「資料本地化」和「安全審查」 |
|
主管機關 |
中國:國家網信辦(CAC)、公安部。與EU相比,執法更加集中且有更強的資料主權要求 |
|
市場准入差異 |
中國要求ICT安全產品另行取得CFCA(密碼驗證)等驗證,形成獨立的市場壁壘,EU廠商進入中國市場面臨重大符合性挑戰 |
|
政治因素 |
中美歐三方在ICT安全標準上的地緣政治博弈激烈,技術標準已成策略工具 |
(未完,見續篇)
沒有留言:
張貼留言