欧盟网络安全局（ENISA）的欧盟云服务网络安全认证计划（ European Union Cybersecurity Certification Scheme on Cloud Services ，EUCS）旨在通过增强和简化云服务的网络安全保证，进一步改善欧盟云服务的内部市场状况。

EUCS候选方案草案旨在使云服务的安全性与欧盟法规、国际标准、行业最佳实践以及欧盟成员国中现有的认证相协调。

欧盟网络安全局（ENISA）执行总监Juhan Lepassaar表示：“云服务在受封锁的欧洲公民和企业生活中起着越来越重要的作用；其安全性对于数字单一市场的运作至关重要。单一的欧洲云认证对于实现数据在欧洲的自由流通至关重要，同时也是促进欧洲创新和竞争力的重要因素。”

在2020年12月18日的ENISA网络安全认证会议上，欧洲委员会通信网络、内容和技术总局(DG CONNECT)的数字社会、信任和网络安全主任Lorena Boix Alonso表示:“我们必须确保网络安全认证遵循明智的基于风险的方法，并采用灵活的解决方案和认证方案，跟上时代的脚步，避免过时。我们需要一个清晰的路线图，让行业、国家当局和标准化机构提前做好准备。”

云服务认证面临诸多挑战，如市场参与者的多样性、复杂的系统和不断演变的云服务格局，以及成员国存在的不同方案。为了应对这些挑战，EUCS候选方案草案呼吁在三个保障级别上实施网络安全最佳实践，并允许欧盟现有的国家方案进行过渡。EUCS候选方案草案是一个横向的技术方案，旨在为整个云供应链提供网络安全保障，并为部门方案奠定良好的基础。

更具体地说，EUCS候选方案草案：

• 是一项自发的计划；

• 该计划的证书将适用于整个欧盟成员国；

• 适用于各种云服务——从基础设施到应用程序；

• 通过定义安全需求参考集来增强对云服务的信任;

• 涵盖“基本”、“实质性”及“高”三个保障级别;

• 提出一种受现有国家计划和国际标准启发的新方法；

• 定义了欧盟国家计划的过渡路径；

• 颁发可续期的三年证书;

• 包括透明度要求，例如数据处理和存储的位置。

经磋商后，EUCS候选计划将被更新并提交给欧洲网络安全认证组织（European Cybersecurity Certification Group ，ECCG）审查。

ENISA网络安全认证的背景

根据2019年的《欧盟网络安全法》（CSA），欧盟网络安全局（ENISA）协助制定候选网络安全认证计划。EUCS协商是根据CSA第49（3）条建立的。

EUCS候选计划的当前草案基于云服务提供商认证（CSPCERT） 工作组和EUCS特设工作组的专家意见，该工作组由来自行业的人员以及来自成员国和欧洲机构的参与者组成。该草案还考虑到了欧盟的国际标准和国家认证计划。

草案原文下载地址：

https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme/

（本文出自SCA安全通信联盟，转载请注明出处。）