词汇表
欧盟网络韧性法案及相关指南中的定义术语和概念。
C
- CE标志
- 制造商在产品上加贴的标志,声明其产品符合欧盟所有适用要求,包括《网络弹性法》 规定的基本网络安全要求。CE标志是进入欧盟单一市场的通行证,必须在产品投放 市场前加贴。
O
- OSS管理者
- 以持续、系统化方式支持特定自由及开源软件产品开发(该软件面向商业活动)为 主要目的的法人(非制造商)。OSS管理者依据《网络弹性法》适用更轻便、量身 定制的监管体系。
严
- 严重事件
- 对制造商用于数字元素产品开发、生产或维护的网络和信息系统安全产生实际不利 影响的事件。严重事件触发强制报告义务,须在24小时内通知CSIRT和ENISA。
关
- 关键产品
- 因其网络安全风险极高而被列入《网络弹性法》附件三II类的数字元素产品。关键 产品须接受最严格的合格评定程序,要求通报机构全面参与或取得欧洲网络安全认证 体系的认证。
制
- 制造商
- 开发或制造数字元素产品(或委托他人设计、开发、制造),并以自有名称或商标将 产品投放市场的自然人或法人。制造商是《网络弹性法》义务的主要承担主体。
协
- 协调漏洞披露(CVD)
- 漏洞发现者、受影响产品制造商及其他相关方通过协调合作处理漏洞,并在修复 方案可用后方公开披露漏洞的流程。《网络弹性法》要求制造商建立CVD政策,并 使受影响的制造商能够在公开披露前修复其漏洞。
- 协调标准
- 应欧盟委员会请求,由欧洲标准化组织(CEN、CENELEC或ETSI)采用的欧洲技术 标准。遵守在欧盟官方公报中公布的协调标准,可推定符合《网络弹性法》相应的 基本网络安全要求。
合
- 合格评定
- 制造商在将数字元素产品投放欧盟市场之前,用于证明产品符合《网络弹性法》基本 网络安全要求的程序。《网络弹性法》规定了多个模块,从制造商自我评估到第三方 评定不等,具体取决于产品风险类别。
基
- 基本网络安全要求
- 制造商须依据《网络弹性法》附件一确保其数字元素产品满足的强制性技术特性和 流程要求。要求分为产品特性(第一部分)和漏洞处理流程(第二部分)两部分。 满足这些要求是获得CE标志的前提条件。
实
- 实质性变更
- 产品投放市场后对数字元素产品所作的变更,且该变更影响产品对附件一第一部分 基本网络安全要求的合规性,或改变产品预期用途。实质性变更触发新一次投放市场 并需要额外的合格评定。
市
- 市场监管
- 由成员国指定的国家主管机构,负责监测和执行数字元素产品对《网络弹性法》的 遵守情况。可要求提供技术文件、开展审计和测试、下令采取纠正措施或撤出市场。
技
- 技术文件
- 制造商须在产品投放市场前编制、并在整个支持期内持续维护的综合文件,包含 证明符合附件一基本网络安全要求的全部信息。附件七规定最低内容要求,须至少 保存10年。
投
授
- 授权代表
- 由欧盟境外制造商书面委托、在欧盟内代表制造商履行《网络弹性法》规定义务 的欧盟境内自然人或法人。授权代表是欧盟市场监管机构的官方联络点。
支
- 支持期
- 制造商须依据附件一第二部分有效处理漏洞的期限。除非产品预期使用寿命更短, 否则不得少于五年。支持期自产品投放欧盟市场时起算。
数
- 数字元素产品(PDE)
- 其预期用途或合理可预见用途涉及与设备或网络直接或间接逻辑或物理数据连接的 软件或硬件产品及其远程数据处理解决方案。数字元素产品是《网络弹性法》核心 监管对象。
欧
- 欧盟合格声明(EU-DoC)
- 由制造商自行签发的文件,声明数字元素产品符合《网络弹性法》规定的基本网络安全 要求。欧盟合格声明须包含附件五规定的要素,以欧盟官方语言之一起草,并至少 保存10年。
漏
- 漏洞
- 数字元素产品中存在的、可能被威胁行为者利用以破坏该产品或所连系统安全的 弱点。《网络弹性法》要求制造商在整个支持期内承担广泛的漏洞识别、处理和 披露义务。
经
- 经销商
- 在供应链中提供数字元素产品,但非制造商或进口商的欧盟境内自然人或法人。 经销商负有较制造商轻的义务,主要包括在提供产品前核实CE标志是否合规, 以及在产品存在风险时采取纠正措施。
自
- 自由及开源软件(FOSS)
- 在赋予用户运行、复制、分发、研究、修改和改进自由的许可证下发布的软件。 《网络弹性法》对在商业活动范围之外提供的FOSS给予特殊地位,将其排除在适用 范围之外。在商业活动过程中提供的FOSS则须受《网络弹性法》约束。
被
- 被积极利用的漏洞
- 有可靠证据表明威胁行为者正在利用该漏洞的安全漏洞。《网络弹性法》要求制造商 在获悉其产品存在被积极利用的漏洞后,立即通知相关国家CSIRT,并在72小时内 向ENISA发出预警。
软
- 软件物料清单(SBOM)
- 以通用机器可读格式对软件产品所含组件、库和模块进行的正式记录。依据附件一 第二部分,制造商须制作至少涵盖顶层依赖项的软件物料清单。
进
- 进口商
- 将欧盟境外自然人或法人名称或商标所标注的数字元素产品投放欧盟市场的欧盟境内 自然人或法人。进口商负有独立的合规核查义务,须在产品投放市场前核实其合规性, 并在《网络弹性法》框架下承担专项义务。
远
- 远程数据处理解决方案(RDPS)
- 数字元素产品执行其任意功能所必需的远程服务。远程数据处理解决方案是数字元素 产品的组成部分,适用相同的《网络弹性法》义务。判断是否构成远程数据处理 解决方案的三要素:远程性、功能依赖性、制造商责任。
适
- 适用范围内
- 数字元素产品在商业活动过程中于欧盟市场提供,且不属于特定豁免情形的,视为 《网络弹性法》适用范围内的产品。判断适用范围的主要因素包括:数字元素的 存在、连接性,以及在商业活动背景下的供应。
通
- 通报机构
- 由成员国主管机构指定并通报欧盟委员会、依据《网络弹性法》执行第三方合格评定 程序的独立认可第三方组织。通报机构参与对欧盟市场上重要产品和关键数字元素 产品的合格评定。
重
- 重要产品
- 因功能或用途被认定存在较高网络安全风险、列入《网络弹性法》附件三I类的数字 元素产品。重要产品须经比默认产品更严格的合格评定程序——制造商须引入通报机构 或取得认证。
附
- 附件一
- 《网络弹性法》的核心附件,规定了适用于所有数字元素产品的基本网络安全要求。 分为两部分:第一部分涵盖产品安全特性,第二部分涵盖制造商必须实施的漏洞处理 流程。符合附件一要求是获得CE标志的前提条件。