WTO技术性贸易措施服务平台（商务部应对贸易摩擦工作站）

  2025年12月23日，阿尔巴尼亚通过WTO发布部长理事会关于批准国家网络安全认证计划及其安全等级的决定，规定了在网络安全认证计划下对信息通信技术产品进行评估和认证的要求与条件，以及认证所需的网络安全认证计划安全等级，此外，该草案还规定了认证后的透明义务，要求制造商或供应商披露网络安全相关信息。。

法规主要内容如下：

1.适用范围

覆盖所有信息技术与通信（ICT）产品、保护配置文件及相关流程的认证。包括产品文档、安全目标声明（DoC）、技术文档等。

2.认证流程与要求

（1）产品认证

①评估标准：基于ISO/IEC 15408（通用标准）或过渡期内的旧标准（如2009年版）。

②级别要求：

高级（Level 5）：需通过技术验证（如渗透测试）和供应链安全评估。

中级（Level 3-4）：需证明对已知漏洞的防御能力。

特殊情形：允许复用已有认证结果（如产品组合认证）。

③保护配置文件认证

需明确安全目标、威胁模型及功能需求。

仅限国家网络安全局授权的机构（OC）颁发。

④评估机构授权

资质要求：需通过ISO/IEC 17025认证，具备专业技术团队（至少10名专家）。

流程：提交申请材料→国家网络安全局初审→现场审核→颁发授权。

3.证书管理

有效期：最长5年，到期前需重新认证；特殊情况可申请延期。

变更管理：如漏洞修复、功能升级等重大变更需重新评估；轻微变更仅需补充报告。

撤销机制：认证机构或持证人未履行义务时，国家网络安全局可暂停或撤销证书。

4.漏洞管理与信息保护

漏洞响应：持证人需建立漏洞报告机制，及时通知认证机构。严重漏洞可能导致证书暂停或撤销。

信息保护：敏感数据（如技术文档）需加密存储，保留期至少5年。禁止未经授权披露认证信息。

5.跨境协作

与欧盟成员国认证机构互通互认，参与欧洲网络安全认证组（ECG）活动。如地缘政治风险等特殊情形下，需向欧盟网络与信息安全局（ENISA）通报。

6.实施时间表

过渡期：至2027年12月31日，允许使用旧标准（如ISO/IEC 15408:2009）。

全面生效：2028年起强制实施新标准。

目前该法规正处于征求意见阶段，评议期至2026年2月21日。法规原文：

https://members.wto.org/crnattachments/2025/TBT/ALB/25_09201_00_e.pdf