7.5 EUCC 认证
7.5.1 概述
欧洲网络安全证书 (European Cybersecurity Certificate, EUCC) 是一套基于通用准则框架 (Common Criteria, ISO/IEC 15408) 的欧洲认证方案。它以欧盟网络安全法案 (EU Cybersecurity Act)(Regulation (EU) 2019/881)为基础,定义了"实质性 (substantial)"和"高 (high)"两个保证级别。
EUCC 目前并非强制要求
对于关键产品(Annex IV),EUCC 认证并非自动强制。根据 Art. 8(1) CRA,欧盟委员会仅被授权通过授权法案 (delegated act) 确定哪些关键产品必须获得保证级别至少为"实质性"的欧洲网络安全证书。
截至 2026 年 6 月,尚未通过任何此类授权法案。 在此之前,关键产品按照 Art. 32(3) CRA 进行标准合规评估程序——即 EU 型式检验(Module B)+ 与型式的一致性(Module C),或全面质量保证(Module H)。
只有当委员会根据 Art. 8(1) 通过授权法案并在其中指明相关产品时,EUCC 义务才会产生。
法律依据
Art. 8(1) CRA: 授权委员会通过授权法案确定哪些关键产品(Annex IV)必须获得保证级别为"实质性"或更高的欧洲网络安全证书。在此类法案通过之前,不存在 EUCC 义务。
Art. 32(3) CRA: 在根据 Art. 8(1) 通过的授权法案生效之前,关键产品适用标准合规评估程序(Module B+C 或 Module H)。
Regulation (EU) 2019/881(网络安全法案): 定义了欧洲网络安全认证框架。
EUCC 方案(Implementing Regulation (EU) 2024/482): 规定了基于欧洲通用准则的认证方案。
7.5.2 适用范围
| 类别 | 是否强制 EUCC? |
|---|---|
| 默认 | 否 |
| Class I | 否 |
| Class II | 否 |
| 关键(Annex IV) | 仅有条件 — 仅在通过授权法案后(Art. 8(1));目前为 Module B+C 或 H(Art. 32(3)) |
Annex IV 产品的当前合规路径
由于尚未根据 Art. 8(1) 通过任何授权法案,关键产品目前遵循与 Class II 产品相同的程序:Module B+C 或 Module H。下文描述的 EUCC 程序适用于委员会针对某一产品类别启动 EUCC 义务的情形。
Annex IV 产品类别
以下产品被分类为关键:
- 硬件安全模块 (HSM)
- 智能卡及类似设备(含安全元件)
- 智能卡读卡器
- 机器人和机器控制器的传感器和执行器
- 智能电表网关
7.5.3 保证级别
EUCC 基于通用准则评估保证级别 (Evaluation Assurance Level, EAL) 定义了两个级别:
| EUCC 级别 | 通用准则 | 检验深度 | 典型用途 |
|---|---|---|---|
| 实质性 (Substantial) | EAL 3-4 | 系统性测试和检查 | CRA Annex IV 的最低要求 |
| 高 (High) | EAL 5-7 | 半形式化/形式化验证 | 高安全性产品 |
对于 CRA,至少需要**"实质性"**级别。
7.5.4 程序
1. 选择评估设施 (ITSEF)
- ITSEF = IT 安全评估设施 (IT Security Evaluation Facility)
- 必须获得 ISO/IEC 17025 认可
- 必须获得国家网络安全认证机构的认可
- 在德国:BSI(联邦信息安全局)为主管机构
2. 创建保护轮廓 / 安全目标
安全目标 (Security Target, ST)
安全目标定义:
- TOE(评估目标, Target of Evaluation)— 待评估产品的精确描述
- 安全问题 — 威胁、组织安全策略、假设
- 安全目标 — 针对 TOE 和运行环境的目标
- 安全要求 — 功能性 (SFR) 和保证性 (SAR)
- TOE 概述 — 如何满足要求
保护轮廓 (Protection Profile, PP)
如果存在相关的保护轮廓,应予以引用。这将简化评估,因为安全要求已经标准化。
3. 评估
ITSEF 执行评估:
| EAL | 评估活动 |
|---|---|
| EAL 1 | 功能性测试 |
| EAL 2 | 结构性测试 |
| EAL 3 | 系统性测试和检查 |
| EAL 4 | 系统性设计、测试和检查 |
| EAL 5 | 半形式化设计和测试 |
| EAL 6 | 半形式化验证 |
| EAL 7 | 形式化验证 |
对于 CRA Annex IV,通常需要 EAL 3 或 EAL 4("实质性"级别)。
4. 认证
评估成功通过后:
- ITSEF 编制评估技术报告 (Evaluation Technical Report, ETR)
- 国家认证机构(例如 BSI)审查 ETR
- 签发 EUCC 证书
- 证书发布在欧盟网络安全认证数据库中
5. 维护
- 证书有效期: 有限(通常3-5年)
- 保证持续性: 针对小幅变更(维护更新)
- 重新评估: 针对重大变更
- 漏洞管理: 持续的漏洞处理义务
7.5.5 时间线
| 阶段 | 预估时间 |
|---|---|
| 创建安全目标 | 2-4个月 |
| 选择和聘请 ITSEF | 1-2个月 |
| 评估(EAL 4) | 6-12个月 |
| 国家机构认证 | 2-4个月 |
| 总计 | 约12-24个月 |
提前规划
EUCC 评估范围广泛且耗时。请至少在计划上市前 18-24个月开始规划。
7.5.6 费用
| 费用项目 | 预估范围 |
|---|---|
| 创建安全目标 | EUR 15,000 - 50,000 |
| 评估(EAL 3-4) | EUR 50,000 - 200,000 |
| 认证费用 | EUR 5,000 - 15,000 |
| 维护/重新评估 | EUR 20,000 - 100,000 |
| 总计(初次评估) | 约 EUR 70,000 - 265,000 |
注:实际费用很大程度上取决于产品复杂度和目标 EAL。
7.5.7 BAUER GROUP 的相关性
基于产品分类:
| Annex IV 类别 | 是否影响 BAUER GROUP? | 行动 |
|---|---|---|
| 硬件安全模块 (HSM) | 否(使用,非制造) | 无 |
| 智能卡/安全元件 | 否(通常) | 无 |
| 智能电表网关 | 检查 | 如制造能源产品 |
| 机器人传感器/执行器 | 检查 | 如制造安全关键控制器 |
当前状态
根据当前评估,BAUER GROUP 没有产品属于 Annex IV。每当有新产品以及授权法案修订时,都会重新审查此评估。
7.5.8 过渡条款
- Art. 32(3) CRA: 只要委员会尚未根据 Art. 8(1) 通过触发 EUCC 义务的授权法案,关键产品(Annex IV)即通过标准合规评估程序进行评估——Module B+C 或 Module H。这是当前状态(截至 2026 年 6 月)。
- Art. 8(1) CRA: 只有通过授权法案,EUCC 才会对其中指明的产品类别成为强制要求。
- 欧盟委员会还可通过授权法案 (delegated act) 将更多产品添加到 Annex IV。
- 制造商必须主动关注授权法案和实施法案的制定动态,以便及时识别未来的 EUCC 义务。
7.5.9 检查清单:EUCC
- [ ] 产品分类已完成(确认属于 Annex IV)
- [ ] 已识别相关保护轮廓(如有)
- [ ] 安全目标已创建
- [ ] ITSEF 已识别并联系
- [ ] 评估合同已签订
- [ ] 评估材料已提供(源代码、文档、测试计划)
- [ ] 评估通过/整改已实施
- [ ] ETR 已由国家机构审查
- [ ] EUCC 证书已获得
- [ ] 证书已发布在欧盟数据库中
- [ ] 维护计划已制定
- [ ] EU 符合性声明已签发(模板)
- [ ] CE 标志已加贴