2025年11月28日,欧盟委员会今日正式通过(EU)2025/2392号实施法规,旨在落实(EU) 2024/2847《网络弹性法案》中关于“重要产品”与“关键产品”的分类技术描述。该法规的发布为数字化产品制造商提供了急需的法律确定性,通过界定受监管产品的核心功能属性,确保了网络安全准入制度的精准实施。
1.以核心功能为导向的分类判定原则
该实施法规强调,判断一个带有数字元素的产品是否属于受限类别,主要取决于其“核心功能”。法规明确指出,当某一重要或关键组件集成到更大型的系统中时,并不必然导致整个系统被重新分类。例如,在新闻应用程序中集成嵌入式浏览器,并不会使该应用本身转变为受严格监管的浏览器产品类别。与此同时,法规也澄清了功能叠加的判定逻辑:如果一个产品在核心功能之外具备附加功能(如操作系统自带的简单绘图软件),其原有的分类标准依然适用。这种以功能本质为核心的评估方法,要求制造商必须进行全面的网络安全风险评估,并根据产品的预期用途和使用条件,证明其整体符合安全要求。
2.细化重要产品与关键产品清单
法规通过两个附件详细罗列了各类产品的技术描述。这些描述不仅涵盖了传统软件,还延伸至特定的硬件领域:
在“重要产品”(Important Products)范畴内,法规划分为两个等级。第一类(Class I)包括身份管理系统、独立与嵌入式浏览器、密码管理器、反病毒软件、VPN客户端及服务器、以及智能家居中的安全摄像头和互联玩具等。第二类(Class II)则侧重于更高风险的基础设施级工具,如虚拟机管理程序(Hypervisors)、容器运行时系统、防火墙以及入侵检测与防御系统(IDS/IPS)。
在“关键产品”范畴内,法规重点关注具备物理防护能力的硬件设备,包括集成安全硬件包的支付终端、智能电表网关,以及符合 AVA_VAN.4 及以上安全级别的智能卡和安全元件(如 TPM 模块)。
3.引入标准化的抗攻击评估等级
为了提高分类的可操作性,法规在微处理器和微控制器的界定中引入了国际公认的通用准则,特别是对于“防篡改”类产品,法规明确引用了 AVA_VAN(易感性评价)等级来衡量其防御潜在缺陷利用的能力。根据法规,被归类为 Class II 的防篡改微处理器需达到 AVA_VAN 等级 2 或 3;而关键产品类别的安全元件则需达到至少 AVA_VAN.4 等级。
法规将在其于欧盟官方公报公布二十天后生效,并直接适用于所有成员国。作为《网络弹性法案》的重要配套文件,该实施法规通过排除非核心功能的干扰,为软件开发商和硬件制造商划定了合规红线。
来源:江苏省技术性贸易措施信息平台
来源:cacs.mofcom.gov.cn
沪公网安备 31011502006428号