歐盟網路資訊安全條例初探（七之七）

（續前篇）

EU Regulation 2019/881 (Cybersecurity Act)

適合讀者：大學以上程度｜法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。

十九、立法指引——產品排除與特別規定

19.1 產品排除的完整清單

以下ICT產品或系統類別依據現行EU法規，全部或部分排除於ECCF範疇之外：

排除領域	說明
民用航空（EU 2018/1139）	航空器、引擎、螺旋槳、飛行操控系統、ATM/ANS系統的ICT元件。驗證由EASA負責，採用DO-326A等航空安全標準而非ECCF。
船舶（EU 2016/1629）	船舶及其設備的ICT系統由EMSA（歐洲海事安全局）架構處理，但2019/881不明確排除，存在灰色地帶。
軌道（EU 2016/797）	鐵路系統的ICT驗證由ERA（歐盟鐵路局）架構主導，TSI CCS包含部分安全要求，與ECCF存在潛在整合空間。
醫療器材（MDR 2017/745, IVDR 2017/746）	醫療器材的ICT/軟體元件主要依MDR附件I第17條（網路資訊安全要求），以及MDCG 2019-16指引。ECCF驗證可作為補充但非取代。
汽車（UN ECE WP.29/UNECE R155）	聯網汽車網路資訊安全依UNECE R155（2022年強制適用），ISO/SAE 21434:2021為技術基礎。ECCF的汽車ICT驗證方案尚未建立。
國防/情報（TFEU第346條）	涉及國家安全的軍事及情報ICT系統，成員國可依條約規定豁免，自行驗證。
核能（Euratom條約）	核電廠ICS/SCADA系統依IAEA指引及成員國核能監管機構規定，ECCF不強制適用。

19.2 無人機（UAS）的特別分析

無人機的ICT安全監管是多重法規交叉的典型案例，涉及EU 2018/1139（基該CSA條例）、EU 2019/945（UAS設計製造）、EU 2019/947（UAS運行規則）等：

無人機ICT安全的監管分層

C類無人機（C0-C6）： 機身設計安全（含ICT安全）依EU 2019/945及EASA授權規範，而非ECCF

U-space（UTM）系統： U-space服務提供商的ICT安全依EU 2021/664，ENISA正評估是否納入ECCF

地面控制站（GCS）： 若GCS為民用消費性電子產品，可能落入ECCF適用範圍（灰色地帶）

遙控識別（Remote ID）： EU 2019/945要求的遙控識別功能具有ICT安全含義，正討論是否需要ECCF驗證

現況：EASA與ENISA已就無人機ICT安全建立合作機制，但監管管轄權劃分尚未最終確定

二十、文獻參考

20.1 主要法規文件

●     Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on information and communications technology cybersecurity certification, OJ L 151, 7.6.2019

●     Commission Implementing Regulation (EU) 2024/482 on the European Common Criteria-based Cybersecurity Certification Scheme (EUCC), OJ L, 2024

●     Directive (EU) 2022/2555 (NIS 2), OJ L 333, 27.12.2022

●     Regulation (EU) 2016/679 (GDPR), OJ L 119, 4.5.2016

●     Regulation (EU) 2024/1689 (EU AI Act), OJ L, 2024

●     Regulation (EU) 2018/1139 on common rules in the field of civil aviation, OJ L 212, 22.8.2018

●     Regulation (EU) 2019/945 on unmanned aircraft systems, OJ L 152, 11.6.2019

●     Regulation (EU) 2022/2554 (DORA – Digital Operational Resilience Act), OJ L 333, 27.12.2022 

20.2 ENISA官方文件

●     ENISA. (2023). ENISA Threat Landscape 2023. European Union Agency for Cybersecurity.

●     ENISA. (2021). ENISA Cybersecurity Certification Framework Overview.

●     ENISA. (2022). Cloud Cybersecurity Market Analysis (EUCS).

●     ENISA. (2023). Guidelines for Securing the Internet of Things.

●     ENISA. (2021). Guidelines on ICT Supply Chain Security.

●     ENISA. (2023). European Vulnerability Database (EUVD) Launch Report. 

20.3 標準文件

●     ISO/IEC 15408 (Common Criteria), Parts 1-3, International Organization for Standardization.

●     ISO/IEC TS 27103:2018, Information technology — Security techniques — Cybersecurity and ISO and IEC Standards.

●     ISO/IEC TS 27110:2021, Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines.

●     ISO/IEC 27404:2022, Information security, cybersecurity and privacy protection — Guidelines for IoT security.

●     IEC 62443 series, Industrial automation and control systems security.

●     ETSI EN 303 645, Cyber Security for Consumer Internet of Things: Baseline Requirements.

●     ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering. 

20.4 學術文獻

●     Timmers, P. (2020). Ethics of AI and Cybersecurity When Sovereignty is at Stake. Minds and Machines, 29(4), 635-645.

●     Bendiek, A., & Römer, M. (2019). Externalizing Europe: The Global Effects of European Data Protection Regulation. Digital Policy, Regulation and Governance, 21(1), 32-43.

●     Veiga, A. da. (2022). EU Cybersecurity Act: Analysis and Implications for IoT. Journal of Cyber Policy, 7(2), 145-162.

●     Skierka, I. (2020). The Governance of Safety and Security Risks in Connected Healthcare. Computers & Security, 92, 101732. 

20.5 政府與智庫報告

●     European Commission. (2023). Cybersecurity Certification: Questions and Answers. DG CONNECT.

●     Gartner. (2024). Forecast: Information Security and Risk Management, Worldwide, 2021-2028.

●     McKinsey & Company. (2022). New Survey Reveals $2 Trillion Market Opportunity for Cybersecurity Technology and Service Providers.

●     EURACTIV. (2024). EUCS sovereign cloud requirement delays certification scheme. EURACTIV Media Network.

（本篇完）

歐盟網路資訊安全條例初探（七之六）

（續前篇）

EU Regulation 2019/881 (Cybersecurity Act)

適合讀者：大學以上程度｜法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。

十六、真實法律案例研究

案例一：Solar Winds供應鏈攻擊（2020年）與歐盟的政策回應

2020年12月揭露的SolarWinds Orion軟體供應鏈攻擊，被植入惡意更新的軟體波及美國政府多個部門及歐盟機構（包括歐洲藥品管理局EMA被波及）。此案直接催化歐盟加速推動以下措施：

●     ENISA發布《ICT供應鏈安全指引》（2021年），為ECCF供應鏈評估要求奠基

●     歐盟委員會加速NIS 2立法，強制要求供應鏈安全評估

●     SBOM（軟體物料清單）要求被納入CRA草案核心要素

●     歐盟理事會就「對歐盟機構構成威脅的供應鏈攻擊」通過結論，強調ECCF驗證的重要性 

案例二：德國AV-TEST事件——驗證範圍爭議

德國知名安全測試機構AV-TEST於2022年發現，市場上數款已取得德國BSI IT-Grundschutz驗證的企業路由器存在嚴重未修補漏洞。此案引發：

●     德國主管機關（BSI）與製造商之間關於「驗證後安全更新義務」的法律爭議

●     BSI首次援引保障條款要求製造商在45天內提供更新，否則撤銷認可

●     此案成為ECCF在設計「持續監控」和「漏洞後更新義務」條款的重要參考 

案例三：歐盟機構網路資訊安全局（CERT-EU）事件

2023年，CERT-EU（歐盟機構網路資訊安全應急小組）通報多個已被攻擊的歐盟機構使用的ICT軟體含有嚴重漏洞，且部分廠商在通報後超過180天仍未提供修補程式。此案推動：

●     歐洲議會正式呼籲加速ECCF「高等級」驗證對政府ICT採購的強制適用

●     ENISA更新CVD指引，將「180天修補承諾」明確納入驗證方案草案要求 

案例四：EUCS延宕的地緣政治案例

EUCS雲端驗證方案的起草過程中，因美國雲端服務提供商（AWS、Microsoft Azure、Google Cloud）被要求將歐洲資料儲存完全隔離於美國司法管轄之外，造成：

●     法國、德國力推「主權雲（Sovereign Cloud）」要求，而荷蘭、愛爾蘭擔心阻礙數位競爭力而反對

●     ENISA多次修訂草案，截至2024年底仍未最終採用，成為ECCF進度最滯後的方案

●     此案揭示：技術標準制定常被地緣政治與產業利益高度政治化

十七、尚待改進事項與改進建議

17.1 待改進事項

l  驗證計畫推出過慢： 自 2019 年通過以來，EUCC 直到 2024 年才正式確立，EUCS (雲端) 因涉及「資料主權」(是否允許非歐盟企業控制資料) 的政治爭議而延宕，導致產業界無所適從。

l  中小企業支援不足： 宜提供對 SMEs 的財務補貼或簡化版驗證流程，避免扼殺歐洲本土新創的競爭力。

l  硬體與軟體生命週期的脫節： 軟體更新頻繁，現有驗證體系偏向傳統硬體思維。亟需引入更靈活的「持續性合規 (Continuous Compliance)」機制。

17.2法規面改進

●     強化直接罰款機制：2019/881應修訂加入直接罰款條款，避免各國執法落差，建議最低限額為全球年營業額1%

●     加快強制驗證範圍擴大：對電力、水資源、金融等關鍵基礎設施ICT產品應加快強制驗證時程

●     動態驗證機制（Living Certificate）：針對頻繁更新的軟體，引入持續監控替代重新驗證，降低軟體廠商負擔 

17.3 技術面改進

●     自動化評鑑工具標準化：ENISA應推動EU統一的自動化安全測試工具套件，降低評鑑成本

●     SBOM強制要求：在「顯著」及「高」等級驗證中強制要求SBOM提交和更新

●     量子安全路線圖：儘早發布後量子密碼（PQC）遷移的驗證要求路線圖 

17.4 市場面改進

●     SME支援計畫：設立EU層級的SME驗證補貼基金，降低中小企業取證障礙

●     CAB產能擴張：與成員國合作，加速培訓和認可更多具備高等級評鑑能力的CAB

●     全球互認協議：積極與美國（NIST CSF）、日本（NISC）、英國（NCSC）推動驗證互認，降低跨市場重複評鑑成本 

十八、國際比較分析

18.1 與美國架構的比較

比較面向	EU vs 美國
法規哲學	EU：以立法為主導，強制統合型架構與驗證分級。以預防和合規為導向，影響力涵蓋軟硬體與雲端 美國：以市場為主導，自願架構（NIST CSF 2.0）為核心，拜登政府EO 14028引入部分強制要求（聯邦採購，如FedRAMP, 國防部 CMMC），但對消費市場主要依賴 FTC (聯邦貿易委員會) 的事後懲罰機制（如對不安全產品的訴訟）
驗證機制	EU：ECCF統一驗證，三級等級。 美國：FedRAMP（政府雲端強制）、UL Cybersecurity Assurance Program（CAP，民間自願）、CMMC（國防供應鏈強制）
執法單位	EU：各成員國NCCA + ENISA協調。 美國：CISA、FTC、DoD（依領域）
SME影響	EU：驗證成本對SME衝擊較大。 美國：NIST CSF提供免費架構，SME負擔相對較輕但缺乏統一驗證
量子安全	EU：ENISA 2023年後量子密碼建議，尚未納入驗證要求。 美國：NIST已發布PQC標準（FIPS 203/204/205），FedRAMP正制定遷移要求

18.2 與瑞士的比較

瑞士依《資訊安全法》（ISG, 2022年生效）建立國家資安架構，其特點：

●     BABS（聯邦民防局）下的NCSC（國家網路資訊安全中心）為主管機關，但職能遠小於ENISA

●     瑞士非EU成員，ECCF驗證在瑞士不自動有效，但瑞士正洽商與ECCF的相互認可協議，預期可在實質上接受並互認歐盟的標準，以確保雙邊貿易暢通

●     金融業依FINMA強制安全要求，嚴格程度接近EU「高」等級 

18.3 與日本的比較

比較面向	EU vs 日本
法規基礎	日本：《網路資訊安全基本法》（2014年）、《重要基礎設施網路資訊安全行動計畫》（第5版，2022年）。主管機關NISC（內閣網路資訊安全策略本部）
驗證機制	日本：CC驗證（JISEC，與CCRA互認）、政府資安管理驗證（GSMS）。與EU的EUCC架構技術上接軌，但各自獨立 著重於公私協力與物聯網硬體安全。由 NISC 與 METI 推動，實施針對 IoT 設備的「NOTICE」計畫（主動掃描不安全設備）以及推廣 CC 驗證
政府採購	日本政府採購要求ICT產品具備JISEC驗證，與EU EUCC平行，存在互認機會
主要差距	日本缺乏類似ENISA的統合協調機構，各省廳分散監管，整合性不足

18.4 與英國的比較

英國脫歐後不再適用EU法規，建立獨立架構：

●     NCSC（國家網路資訊安全中心）為核心機構，Cyber Essentials為基本驗證（類似EU基本等級）

●     英國宣布不採納ECCF，但表示將在技術層面維持相容性

●     英國與EU的《溫莎架構》未涵蓋ICT驗證互認，形成市場障礙

●     英國產業呼籲建立ECCF-NCSC雙邊互認，預計2025-2026年談判

●     實施 PSTI Act (產品安全與電信基礎設施法)，強制要求消費性 IoT 設備禁止使用預設密碼、需公布漏洞揭露政策與更新支援期限。規定具體且具強制性。 

18.5 與中國的比較

比較面向	EU vs 中國
法規架構	中國：《網路資訊安全法》（2017年）、《資料安全法》（2021年）、《個人資訊保護法》（2021年）、《關鍵信息基礎設施安全保護條例》；以國家安全主導資安進程、嚴格的資料在地化 (Data Localization)，以及要求外國企業提供源代碼供國家機構審查。與歐盟的透明與市場導向截然不同。
驗證機制	中國：MLPS（等級保護制度）2.0版本，分1-5級。與EU三級結構類似，但強調「資料本地化」和「安全審查」
主管機關	中國：國家網信辦（CAC）、公安部。與EU相比，執法更加集中且有更強的資料主權要求
市場准入差異	中國要求ICT安全產品另行取得CFCA（密碼驗證）等驗證，形成獨立的市場壁壘，EU廠商進入中國市場面臨重大符合性挑戰
政治因素	中美歐三方在ICT安全標準上的地緣政治博弈激烈，技術標準已成策略工具

（未完，見續篇）