德國BSZ Product Certification快速資安認證制度

1. 制度目的與背景

2. 適用範圍與評估對象

• 一般網路組件與嵌入式 IP 產品，例如：路由器、工控設備、虛擬化軟體、特定任務行動裝置等。
• 高速連接器（HSK）—用於德國醫療體系 telematics 基礎建設。
• 智慧電表閘道（SMGW）家庭區域網路元件（HAN components）。

3. 認證程序（Phase Model）

• 準備與申請階段

• 申請者（製造商、開發商或經銷商）確認產品是否符合 BSZ 適用條件。
• 撰寫 Security Target (ST) 文件、SBOM 軟體材料清單、加密算法清單與 Secure User Guidance (SUG) 等。
• 與 BSI 授權的 ITSEF （Information Technology Security Evaluation Facility）簽約，完成文件預審。
• 若為再認證（Recertification），須提交 Impact Analysis Report (IAR)。

• 評估階段

• Kick-off 會議：三方（申請者、ITSEF、BSI）協調範圍、測試時程、加密算法與資源。
• 正式評估：由 ITSEF 執行 Conformance Check、滲透測試及加密實作驗證。
• 最終面談（Final Interview）：ITSEF 報告結果，BSI 提出質詢並形成最終判斷。
• 後續測試（Follow-Up Evaluation）：若僅有小部分需補測，得以簡化重測。
• 延伸後續評估（Extended Follow-Up Evaluation）：若初審為否決，但問題可在短期內修正，申請者可一次性重新提交改進版本再評估。

• 認證與決定階段

• BSI 基於 ETR (Evaluation Technical Report) 作出正式決定。
• 若通過，頒發證書與報告；若部分產品不合格，僅核發符合者。
• 認證文件將公開於 BSI 網站，除非申請者拒絕公開。

4. 再認證與維護

• 證書有效期原則上 不超過兩年。
• 若產品更新，須依變更影響分析 (IAR) 申請再認證，以反映最新攻擊技術及密碼安全性。
• 再認證可由同一 ITSEF 執行，得減少測試工時。
• 憑證持有人必須持續進行弱點管理與安全更新。

5. 特別規範條件

• 中立與獨立機制：BSI 依 ISO/IEC 17065 要求，每年執行風險評估及隨機稽核，以防止審查者與 ITSEF 或申請方之間的利益衝突。
• 文件交換與保密：所有文件須以 OpenPGP 或 SMIME 加密郵件傳輸，遵循 TR-02102-1 指引。
• 評估合約與顧問服務：BSI 授權的 ITSEF 不得同時提供顧問與評估，以確保公正；可於申請前提供有限度的文件檢視。
• 標準與詮釋有效性：於 Kick-off 會議確定適用之 AIS 版本；涉及攻擊技術之 AIS 需採用最新版本。

6. 公開與透明度

• BSI 於網站公布已發證產品、報告與 Security Target。
• 自 v2.3 起新增「正在進行中案件之公開規範」，以提升透明度並避免重複申請。

7. 2025 年 v2.3 版主要更新

• 新增 產品群組（Product Group）認證 與 組合式 TOE （Composite TOE） 評估機制。
• 明確定義再認證時程與最長評估工時。
• 增補 SBOM 要求、加強對加密算法的合規性。
• 新增進行中案件公開原則與證書延展規範。

8. 總結

• 此 BSZ 2.3 版可視為 BSI 針對 IoT、工控、嵌入式及網路產品的快速安全評估與證書互認基礎框架。
• 它結合 EN 17640 與 SOG-IS 標準，採取模組化與分階段驗證機制，強化產品安全性、文件完整性與持續更新責任。

BSZ Product Certification和歐洲CRA有哪些關聯性

德國 BSZ（Beschleunigte Sicherheitszertifizierung） 制度 Version 2.3（2025-11-01）雖然是由德國聯邦資訊安全局 BSI 制定的國家級認證方案，但它與歐盟《Cyber Resilience Act》（CRA，網路韌性法案） 之間具有一定程度的關聯性與互補性。以下為兩者的制度對應與實質關聯整理：

1. 制度定位與立法層級對應

面向	BSZ（德國）	CRA（歐盟）	關聯說明
法律層級	BSI 依《BSIG》（聯邦資訊安全局法）所建立的行政認證機制	歐盟層級之強制性法規（Regulation），2024年正式通過，預計2027年全面適用	CRA 為歐盟統一法制框架，BSZ 屬國家執行層的技術驗證與認證工具
適用對象	IT產品、嵌入式系統、網路組件、工控設備、軟體	所有「含數位元素之產品」（Products with Digital Elements, PDEs）	BSZ 的產品類型與 CRA 定義的 PDE 高度重疊
法規地位	行政性認證，可作為產品安全保證證據	法定合規要求，產品上市須符合 CRA 基本安全要求	BSZ 認證可作為CRA 第三方評估或製造商自我聲明的技術依據

2. 在產品生命週期與安全設計要求上的對應

CRA 要求條文	對應的 BSZ 條文與機制	實際關聯
設計與開發階段的資安要求（Security by Design）	BSZ 要求 TOE （Target of Evaluation）須明確定義安全功能、使用環境、威脅模型與假設。	BSZ 的 Security Target (ST) 文件等同於 CRA 要求的「安全設計與風險分析」輸出。
漏洞處理與更新管理	憑證持有人必須執行弱點管理與安全更新；不履行者證書可撤銷。	完全符合 CRA 「漏洞處理政策」的義務要求。
合格評定程序（Conformity Assessment）	定義完整認證流程：申請、評估、再認證。	BSZ 可視為 CRA 所列「第三方評定機構（CAB）」評估路徑之一。
安全需求：SBOM、加密、驗證、更新	要求提交 SBOM、加密演算法文件、密鑰管理與更新機制說明。	BSZ 文件要求完全涵蓋 CRA 之核心技術項目。
通報與持續監控	要求持續追蹤漏洞與通報 BSI，同時規範認證與程序公開。	與 CRA 「漏洞通報與事件回報」一致。

3. 運作機制的互補性

• BSZ 作為 CRA 的「認證技術落地」方案

• CRA 要求製造商證明產品符合「設計-開發-維運」的資安要求，但未指定評估方法。
• BSI 以 BSZ 提供可重複、可審核、歐盟公認的固定時程評估程序，成為 CRA 合格評定機構可採用的範本。

• 歐洲互認與 EN 17640 接軌

• BSZ 採用 EN 17640 （FiT CEM）方法學，此標準正在被歐盟 Cybersecurity Act 與 CRA 納入共同標準目錄。
• 因此，BSZ 證書具備跨國互認潛力，未來可作為 EUCC 或 CRA 合格證書的技術基礎。

• 技術-政策連結

• CRA 著重「法規合規」與「市場監督」；
• BSZ 著重「技術評估」與「產品安全保證」；
• 兩者形成 「法規＋技術標準」的雙層保障機制。

4. 在供應鏈與市場監理層面的意涵

• CRA 要求供應鏈上每一層（開發者、供應商、製造商）都要具備可追溯安全文件（例如 SBOM）。BSZ明文要求 SBOM 為申請文件之一，直接滿足此要求。
• BSZ 的「產品群組認證」（Product Group Certification）與 CRA 的「產品族群」概念一致，可支援相似產品的集體符合性聲明。
• BSZ 證書公開機制可支援 CRA 要求的市場透明度與監管資料交換。

5. 實務整合建議（對製造商或顧問角度）

CRA 合規步驟	可用 BSZ 證據或文件
建立資安設計文件與風險分析	BSZ Security Target (ST)、AIS B1/B3 文件
弱點處理流程	BSZ 漏洞管理計畫
加密與通訊保護	AIS B2 與 SOG-IS ACM 合規性文件
SBOM 與軟體版本追蹤	BSZ 要求的 SBOM
合格評定報告	Evaluation Technical Report (ETR) ＋ Certification Report
持續監控與再認證	Recertification 流程

6. 整體結論

• 功能層面： BSZ 提供 CRA 落地的「技術評估與認證路徑」；
• 法律層面： BSZ 是 CRA 法規合格性證明的可接受依據；
• 標準層面： 兩者共同以 EN 17640 為基礎，與 SOG-IS / EUCC 等歐洲認證體系相容；
• 產業層面： BSZ 能讓製造商在 CRA 強制上路前，提前建構安全評估與文件準備流程。