詞彙表
歐盟網路韌性法案及相關指引中的定義術語和概念。
C
- CE標誌
- 製造商在產品上加貼的標誌,聲明其產品符合歐盟所有適用要求,包括《網路韌性法》 規定的基本網路安全要求。CE標誌是進入歐盟單一市場的通行證,必須在產品投放 市場前加貼。
O
- OSS管理者
- 以持續、系統化方式支持特定自由及開源軟體產品開發(該軟體面向商業活動)為 主要目的的法人(非製造商)。OSS管理者依據《網路韌性法》適用較輕便、量身 訂製的監管體系。
協
- 協調漏洞揭露(CVD)
- 漏洞發現者、受影響產品製造商及其他相關方透過協調合作處理漏洞,並在修復 方案可用後方公開揭露漏洞的流程。《網路韌性法》要求製造商建立CVD政策,並 使受影響的製造商能在公開揭露前修復其漏洞。
- 協調標準
- 應歐盟委員會請求,由歐洲標準化組織(CEN、CENELEC或ETSI)採用的歐洲技術 標準。遵守在歐盟官方公報中公布的協調標準,可推定符合《網路韌性法》相應的 基本網路安全要求。
合
- 合格評定
- 製造商在將數位元素產品投放歐盟市場之前,用於證明產品符合《網路韌性法》基本 網路安全要求的程序。《網路韌性法》規定了多個模組,從製造商自我評估到第三方 評定不等,具體取決於產品風險類別。
嚴
- 嚴重事件
- 對製造商用於數位元素產品開發、生產或維護的網路和資訊系統安全產生實際不利 影響的事件。嚴重事件觸發強制通報義務,須在24小時內通知CSIRT和ENISA。
基
- 基本網路安全要求
- 製造商須依據《網路韌性法》附件一確保其數位元素產品滿足的強制性技術特性 和流程要求。要求分為產品特性(第一部分)和漏洞處理流程(第二部分)兩部分。 滿足這些要求是取得CE標誌的前提條件。
實
- 實質性變更
- 產品投放市場後對數位元素產品所作的變更,且該變更影響產品對附件一第一部分 基本網路安全要求的合規性,或改變產品預期用途。實質性變更觸發新一次投放市場 並需要額外的合格評定。
市
- 市場監管
- 由成員國指定的國家主管機關,負責監測和執行數位元素產品對《網路韌性法》的 遵守情況。可要求提供技術文件、開展稽核和測試、下令採取糾正措施或撤出市場。
技
- 技術文件
- 製造商須在產品投放市場前編制、並在整個支援期內持續維護的綜合文件,包含 證明符合附件一基本網路安全要求的全部資訊。附件七規定最低內容要求,須至少 保存10年。
投
授
- 授權代表
- 由歐盟境外製造商以書面委託、在歐盟境內代表製造商履行《網路韌性法》規定 義務的歐盟境內自然人或法人。授權代表是歐盟市場監管機構的官方聯絡窗口。
支
- 支援期
- 製造商須依據附件一第二部分有效處理漏洞的期限。除非產品預期使用壽命更短, 否則不得少於五年。支援期自產品投放歐盟市場時起算。
數
- 數位元素產品(PDE)
- 其預期用途或合理可預見用途涉及與裝置或網路直接或間接邏輯或實體資料連接的 軟體或硬體產品及其遠端資料處理解決方案。數位元素產品是《網路韌性法》核心 監管對象。
歐
- 歐盟合格聲明(EU-DoC)
- 由製造商自行簽發的文件,聲明數位元素產品符合《網路韌性法》規定的基本網路 安全要求。歐盟合格聲明須包含附件五規定的要素,以歐盟官方語言之一起草, 並至少保存10年。
漏
- 漏洞
- 數位元素產品中存在的、可能被威脅行為者利用以破壞該產品或所連系統安全的 弱點。《網路韌性法》要求製造商在整個支援期內承擔廣泛的漏洞識別、處理和 揭露義務。
積
- 積極遭利用的漏洞
- 有可靠證據顯示威脅行為者正在利用的安全漏洞。《網路韌性法》要求製造商 在得知其產品存在積極遭利用的漏洞後,應立即通知相關國家CSIRT,並於72小時 內向ENISA發出預警。
經
- 經銷商
- 在供應鏈中提供數位元素產品,但非製造商或進口商的歐盟境內自然人或法人。 經銷商負有較製造商輕的義務,主要包括在提供產品前核實CE標誌是否合規, 以及在產品存在風險時採取糾正措施。
自
- 自由及開源軟體(FOSS)
- 在賦予使用者執行、複製、散布、研究、修改和改進自由的授權條款下發布的軟體。 《網路韌性法》對在商業活動範圍之外提供的FOSS給予特殊地位,將其排除在適用 範圍之外。在商業活動過程中提供的FOSS則須受《網路韌性法》約束。
製
- 製造商
- 開發或製造數位元素產品(或委託他人設計、開發、製造),並以自有名稱或商標將 產品投放市場的自然人或法人。製造商是《網路韌性法》義務的主要承擔主體。
軟
- 軟體物料清單(SBOM)
- 以通用機器可讀格式對軟體產品所含元件、程式庫和模組進行的正式記錄。依據 附件一第二部分,製造商須制作至少涵蓋頂層相依項的軟體物料清單。
通
- 通報機構
- 由成員國主管機關指定並通報歐盟委員會、依據《網路韌性法》執行第三方合格評定 程序的獨立認可第三方組織。通報機構參與對歐盟市場上重要產品和關鍵數位元素 產品的合格評定。
進
- 進口商
- 將歐盟境外自然人或法人名稱或商標所標注的數位元素產品投放歐盟市場的歐盟境內 自然人或法人。進口商負有獨立的合規核查義務,須在產品投放市場前核實其合規性, 並在《網路韌性法》框架下承擔專項義務。
遠
- 遠端資料處理解決方案(RDPS)
- 數位元素產品執行其任意功能所必需的遠端服務。遠端資料處理解決方案是數位元素 產品的組成部分,適用相同的《網路韌性法》義務。判斷是否構成遠端資料處理 解決方案的三要素:遠端性、功能依賴性、製造商責任。
適
- 適用範圍內
- 數位元素產品在商業活動過程中於歐盟市場提供,且不屬於特定豁免情形的,視為 《網路韌性法》適用範圍內的產品。判斷適用範圍的主要因素包括:數位元素的 存在、連接性,以及在商業活動背景下的供應。
重
- 重要產品
- 因功能或用途被認定存在較高網路安全風險、列入《網路韌性法》附件三I類的數位 元素產品。重要產品須經比預設產品更嚴格的合格評定程序——製造商須引入通報 機構或取得認證。
關
- 關鍵產品
- 因其網路安全風險極高而被列入《網路韌性法》附件三II類的數位元素產品。關鍵 產品須接受最嚴格的合格評定程序,要求通報機構全面參與或取得歐洲網路安全 認證體系的認證。
附
- 附件一
- 《網路韌性法》的核心附件,規定了適用於所有數位元素產品的基本網路安全要求。 分為兩部分:第一部分涵蓋產品安全特性,第二部分涵蓋製造商必須實施的漏洞 處理流程。符合附件一要求是取得CE標誌的前提條件。