歐盟網路資訊安全條例初探（七之七）

（續前篇）

EU Regulation 2019/881 (Cybersecurity Act)

適合讀者：大學以上程度｜法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。

十九、立法指引——產品排除與特別規定

19.1 產品排除的完整清單

以下ICT產品或系統類別依據現行EU法規，全部或部分排除於ECCF範疇之外：

排除領域	說明
民用航空（EU 2018/1139）	航空器、引擎、螺旋槳、飛行操控系統、ATM/ANS系統的ICT元件。驗證由EASA負責，採用DO-326A等航空安全標準而非ECCF。
船舶（EU 2016/1629）	船舶及其設備的ICT系統由EMSA（歐洲海事安全局）架構處理，但2019/881不明確排除，存在灰色地帶。
軌道（EU 2016/797）	鐵路系統的ICT驗證由ERA（歐盟鐵路局）架構主導，TSI CCS包含部分安全要求，與ECCF存在潛在整合空間。
醫療器材（MDR 2017/745, IVDR 2017/746）	醫療器材的ICT/軟體元件主要依MDR附件I第17條（網路資訊安全要求），以及MDCG 2019-16指引。ECCF驗證可作為補充但非取代。
汽車（UN ECE WP.29/UNECE R155）	聯網汽車網路資訊安全依UNECE R155（2022年強制適用），ISO/SAE 21434:2021為技術基礎。ECCF的汽車ICT驗證方案尚未建立。
國防/情報（TFEU第346條）	涉及國家安全的軍事及情報ICT系統，成員國可依條約規定豁免，自行驗證。
核能（Euratom條約）	核電廠ICS/SCADA系統依IAEA指引及成員國核能監管機構規定，ECCF不強制適用。

19.2 無人機（UAS）的特別分析

無人機的ICT安全監管是多重法規交叉的典型案例，涉及EU 2018/1139（基該CSA條例）、EU 2019/945（UAS設計製造）、EU 2019/947（UAS運行規則）等：

無人機ICT安全的監管分層

C類無人機（C0-C6）： 機身設計安全（含ICT安全）依EU 2019/945及EASA授權規範，而非ECCF

U-space（UTM）系統： U-space服務提供商的ICT安全依EU 2021/664，ENISA正評估是否納入ECCF

地面控制站（GCS）： 若GCS為民用消費性電子產品，可能落入ECCF適用範圍（灰色地帶）

遙控識別（Remote ID）： EU 2019/945要求的遙控識別功能具有ICT安全含義，正討論是否需要ECCF驗證

現況：EASA與ENISA已就無人機ICT安全建立合作機制，但監管管轄權劃分尚未最終確定

二十、文獻參考

20.1 主要法規文件

●     Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on information and communications technology cybersecurity certification, OJ L 151, 7.6.2019

●     Commission Implementing Regulation (EU) 2024/482 on the European Common Criteria-based Cybersecurity Certification Scheme (EUCC), OJ L, 2024

●     Directive (EU) 2022/2555 (NIS 2), OJ L 333, 27.12.2022

●     Regulation (EU) 2016/679 (GDPR), OJ L 119, 4.5.2016

●     Regulation (EU) 2024/1689 (EU AI Act), OJ L, 2024

●     Regulation (EU) 2018/1139 on common rules in the field of civil aviation, OJ L 212, 22.8.2018

●     Regulation (EU) 2019/945 on unmanned aircraft systems, OJ L 152, 11.6.2019

●     Regulation (EU) 2022/2554 (DORA – Digital Operational Resilience Act), OJ L 333, 27.12.2022 

20.2 ENISA官方文件

●     ENISA. (2023). ENISA Threat Landscape 2023. European Union Agency for Cybersecurity.

●     ENISA. (2021). ENISA Cybersecurity Certification Framework Overview.

●     ENISA. (2022). Cloud Cybersecurity Market Analysis (EUCS).

●     ENISA. (2023). Guidelines for Securing the Internet of Things.

●     ENISA. (2021). Guidelines on ICT Supply Chain Security.

●     ENISA. (2023). European Vulnerability Database (EUVD) Launch Report. 

20.3 標準文件

●     ISO/IEC 15408 (Common Criteria), Parts 1-3, International Organization for Standardization.

●     ISO/IEC TS 27103:2018, Information technology — Security techniques — Cybersecurity and ISO and IEC Standards.

●     ISO/IEC TS 27110:2021, Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines.

●     ISO/IEC 27404:2022, Information security, cybersecurity and privacy protection — Guidelines for IoT security.

●     IEC 62443 series, Industrial automation and control systems security.

●     ETSI EN 303 645, Cyber Security for Consumer Internet of Things: Baseline Requirements.

●     ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering. 

20.4 學術文獻

●     Timmers, P. (2020). Ethics of AI and Cybersecurity When Sovereignty is at Stake. Minds and Machines, 29(4), 635-645.

●     Bendiek, A., & Römer, M. (2019). Externalizing Europe: The Global Effects of European Data Protection Regulation. Digital Policy, Regulation and Governance, 21(1), 32-43.

●     Veiga, A. da. (2022). EU Cybersecurity Act: Analysis and Implications for IoT. Journal of Cyber Policy, 7(2), 145-162.

●     Skierka, I. (2020). The Governance of Safety and Security Risks in Connected Healthcare. Computers & Security, 92, 101732. 

20.5 政府與智庫報告

●     European Commission. (2023). Cybersecurity Certification: Questions and Answers. DG CONNECT.

●     Gartner. (2024). Forecast: Information Security and Risk Management, Worldwide, 2021-2028.

●     McKinsey & Company. (2022). New Survey Reveals $2 Trillion Market Opportunity for Cybersecurity Technology and Service Providers.

●     EURACTIV. (2024). EUCS sovereign cloud requirement delays certification scheme. EURACTIV Media Network.

（本篇完）