1. 法规、指令和法案:
随着即将出台的欧洲网络安全法规,欧盟旨在建立一个高效且健全的框架,以应对未来的挑战,保护社会,特别是新兴技术的消费者。让我们澄清并总结一下欧洲现有的不同类型的法律文书:
在产品网络安全方面,欧洲有多项举措。
2.1 网络弹性法案(CRA)网络弹性法案(CRA)是欧盟提出的一项立法倡议,旨在提高具有数字元素的产品(包括硬件和软件)的网络安全标准。该法案旨在确保此类产品在其生命周期内,从设计到市场投放及其后,都符合特定的网络安全要求。
基本安全要求:确保连接产品符合基本网络安全标准。
漏洞处理:要求制定处理和披露漏洞的程序。
欧洲议会于2023年末就CRA达成政治共识,预计将于2024年初全面通过该法。该法案包括分阶段实施,大多数义务将在36个月内强制执行,以便利益相关方有时间适应。不过,漏洞和事件报告要求将在CRA生效后21个月内生效。
2.1.1 CRA挑战及Applus+ Laboratories的观点专家普遍认为,CRA是加强欧盟网络安全的重要一步。它与NIS2指令和AI法案等其他欧盟法规一致,旨在在不同行业建立统一的网络安全框架。然而,也有人对该法案严格的报告要求和与现行法律的潜在重叠表示担忧,这可能会给制造商和进口商带来额外负担。一些专家建议,报告义务应更加明确和灵活,以避免让小型公司不堪重负并扼杀其创新性。
一个产品要在全球通过多项认证,这将增加工作量和成本,这一点非常令人担忧。因此,CRA标准化至关重要。然而,要协调和更新现有标准或创建新标准以从本质上满足CRA的基本要求,还面临着巨大的挑战。此外,欧洲委员会的标准化要求草案提到了41项新标准;这可能是社区缺乏专家所造成的问题。
此外,有效的监督和执行机制也是确保合规的必要条件,即使制造商对将要实施的处罚有所顾虑。这包括建立强有力的监督机构,并为其提供履行职责所需的资源。
有关CRA及Applus+相关服务的更多信息
欧盟网络弹性法案概览
EUCC:迈向新的欧盟共同标准方案
EUCC认证服务
Applus+网络弹性符合性认证
2.2 无线设备指令(RED)及RED授权法案无线设备指令(2014/53/EU)为在欧盟市场投放无线设备建立了监管框架,涵盖安全、健康、电磁兼容性和高效使用无线频谱等方面。该指令旨在为无线设备创建单一市场,确保这些产品安全且不会干扰其他电子设备。
特别针对第3.3(d)、(e)和(f)条的RED授权法案引入了无线设备的新网络安全要求。这些条款涵盖:
网络保护 – 第3(3)条d款:确保无线设备不损害网络或滥用其资源。
保护个人数据和隐私 – 第3(3)条e款:保护用户的个人数据和隐私
防止金融欺诈 – 第3(3)条f款:实施保护措施,防止金融欺诈
RED授权法案是欧盟无线设备指令(RED)下的补充立法措施。它为无线设备(包括IoT设备)在欧盟市场上销售必须满足的特定技术方面和要求提供了详细的规则和标准。RED授权法案涉及主要指令未详细涵盖的领域,确保了全面的监管框架。
2.2.1 RED挑战及Applus+ Laboratories的观点专家认为,RED授权法案是加强无线设备网络安全的关键一步,与更广泛的欧盟网络安全战略相一致。通过要求制造商整合强大的网络安全措施,该法案旨在缓解日益增长的连通性和网络威胁所带来的风险。然而,有人担心,要达到这些新要求,统一标准的准备工作将面临挑战,而且对制造商(尤其是中小企业和网络安全经验不足的公司)来说,实施这些新要求可能会带来负担和复杂性。
截至目前,由于RED委托法案将于2025年8月1日起强制执行,EN18031(第1、2和3部分)最近已投票通过,成为RED合规性的协调标准。
提出的网络安全措施被视为保护消费者数据并确保通信网络完整性所必需的。人们普遍认为,符合RED指令的标准将被CRA标准取代。
EN 18031测试
RED指令及Applus+公告机构服务。
2.3 网络安全法案(CSA)该法案为信息和ICT产品、服务和流程引入了一个全欧盟范围的网络安全认证框架。此框架旨在通过确保产品和服务符合一致且公认的安全标准,增强数字市场的信任度和安全性。
最近推出的EUCC就是CSA下的计划之一。EUCC实施法案已经生效,为该计划的利益相关者制定了规则。其他计划包括EU5G和EUCS,后者预计将于2024年第四季度生效。
根据欧洲网络安全认证联盟滚动工作计划的SWD(员工工作文件),其他需要优先考虑的计划包括欧洲数字身份钱包和托管安全服务。
2.3.1 CSA挑战及Applus+ Laboratories的观点专家普遍认为CSA是欧盟内部加强网络安全的关键一步。通过建立统一的认证框架,CSA有助于增加对数字产品和服务的信任,促进跨境贸易的顺利进行,并推动数字单一市场的发展。然而,关于完善ENISA的任务、提高认证流程的效率以更好地适应不断变化的网络安全形势以及创建新计划的效率等问题的讨论仍在继续。
EUCC计划已经启动,作为CSA下第一个成功的计划,这是一个重要的里程碑。这是一个非常积极的消息。无论如何,仍有一些工作要做,因为现场证书不在EUCC的范围内,对CB的认证要求尚未发布,ITSEF的认证要求还需要对解释进行一些完善。
此外,像EU5G这样的其他计划也在筹备中。这一新计划可能需要额外的标准化工作,以便与GSMA等其他国际5G认证计划保持一致,这样制造商就可以拥有一个涵盖所有5G产品安全要求的统一计划。
此外,关于EUCS云服务认证计划的政治辩论突显了将国家主权要求与欧盟范围内的标准整合的复杂性。主权要求一直是争议的焦点,一些行业利益相关者和成员国认为这些要求可能具有保护主义色彩。专注于透明度的妥协被视为一种平衡的方法,以解决这些问题。
2.4 人工智能法案欧盟人工智能法案是全球第一个专门为应对人工智能相关风险和挑战而设计的全面监管框架。
它引入了一个全面的框架,确保AI(人工智能)系统安全、透明并尊重基本权利。该法案根据风险等级对人工智能系统进行分类:不可接受的风险(禁止)、高风险(严格监管)、有限风险(透明度要求)和最低风险(基本不受监管)。
虽然该法案主要关注人工智能,但也包括与网络安全相关的条款,特别是针对高风险人工智能系统类别的条款。它为以下方面制定了规定:
风险管理:管理人工智能系统网络安全风险的义务。
安全要求:确保人工智能系统在设计上的安全性,和抵御攻击的能力。
欧洲议会于2024年3月通过了《人工智能法案》,预计将在24个月内全面适用,部分内容将提前生效。其中包括立即禁止人工智能系统带来不可接受的风险,并在九个月内引入实践准则。
2.4.1 人工智能法案的挑战和Applus+ Laboratories的观点一些专家,尤其是来自初创企业和中小型企业的专家,对人工智能法可能会带来巨大的监管负担表示担忧。他们担心,与美国和中国的同行相比,这可能会给欧洲公司的创新制造更多障碍,从而使其处于不利地位。
现在的重点已经转移到该法案的有效实施和执行上。这包括确保人工智能办公室拥有必要的资源,以及人工智能责任指令对人工智能法的有效补充。要满足这一需求,还有很长的路要走,还需要统一标准。
2.5 欧洲数字身份框架欧洲数字身份框架,也称为eIDAS 2.0,是一项旨在为欧盟公民和企业提供安全且标准化的数字身份解决方案的更新法规。这一倡议以2014年的原始eIDAS法规为基础,旨在通过引入更灵活和全面的框架解决其局限性。包括:
• eIDAS法规:电子身份识别和信任服务的强化安全措施。
• 数字钱包:在欧盟范围内提供安全、可互操作的数字身份解决方案
欧洲数字身份框架于2024年初由欧洲议会和理事会通过,预计将于2024年夏末生效。各成员国目前正在努力实施该框架,预计首批数字身份钱包将于2025年面世。
2.5.1 欧洲数字身份挑战及Applus+ Laboratories的观点专家们赞赏对安全和技术架构统一方法的重视,预计这将提高整个欧盟数字身 份解决方案的效率和安全性。
新框架被视为向通过可信和安全的数字身份赋予公民权力迈出的重要一步,有可能提高数字身份服务的采用率。
面临的一些挑战是,人们担心实施这样一个全面的框架和确保不同国家系统之间的互操作性的复杂性,以及鉴于产品及其处理数据的重要性,这些钱包将如何获得认证。
是否有其他法规同时实施?是的,还有其他法规,如DORA和NIS2,也在实施欧盟网络安全框架并与之互动。
虽然NIS2更广泛地关注关键部门及其网络安全实践,DORA专门针对金融实体,并包括对渗透测试的明确要求,以确保数字操作弹性。这些法规与既定标准和最佳实践相一致,强调了对网络安全采取积极主动和全面方法的必要性。
那么中国和美国的其他法规如何?世界各地的网络安全法规又如何呢?全球有多个框架、法律、框架、指南和法案。
以下是中国的一些相关网络安全法规:
网络安全法
MLPS 2.0
网络安全审查办法
密码法
无线电管理条例,无线电频率管理规定
人工智能伦理指南,新一代人工智能发展规划
电子身份证系统,实名登记系统
以下是美国的一些相关网络安全法规:
CISA
FISMA
NIST网络安全框架,网络安全行政命令
FCC规章制度
人工智能倡议法案,算法问责法案
NSTIC,实名制法案
专家普遍认为,欧盟的监管框架为数字治理设定了高标准,确保技术得到负责任的开发和使用。然而,与美国和中国法规的互动突显了不同方法所带来的挑战。
欧盟全面而严格的法规有时会导致更高的合规成本和潜在的创新抑制,而美国更为灵活的方法和中国严格但集中控制的模式各有利弊。关键在于找到一个平衡点,既能促进创新,又能确保安全、隐私和道德标准!
在Applus+ Laboratories,我们将在认证过程中为您提供指导和支持,以验证您的产品符合合规标准。
