从家用电器到联网玩具,再到计算机和软件,所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新;
我国在欧洲经营数字产品业务的企业,需及早规划应对策略,建立健全网络安全保障机制,以防违规。
前情回顾·网络安全基线立法
安全内参9月16日消息,欧洲公布了最新的网络安全基本要求提案《网络弹性法案》,要求数字设备与软件开发厂商证明产品能够满足要求,从而降低家用电器、可穿戴设备、软件与计算机等一系列产品遭黑客攻击的风险。
开售后需提供五年安全更新
昨天提出的这项立法草案还要求,在欧盟开展业务的制造商在产品生命周期内或投放市场后的五年内(以较短者为准),需持续提供安全补丁与更新。违反规定的企业将面临最高1500万欧元(约1.05亿元人民币)或全球营收2.5%的罚款。
欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)表示,“保证消费者购买的产品不存在已知漏洞,这一点很重要。但目前市场还满足不了这一要求。”他认为,此次立法是一项突破,标志着欧洲成为首个对软件提出强制性网络安全评估要求的洲。
德国电气与数字公司协会(ZVEI)的数字化经理尼尔斯·谢勒(Nils Scherrer)表示,此次立法将是一项“艰巨的任务”,安全评估和新的程序制度将给企业带来巨大的成本压力,“企业需要从根本上改变产品生命周期的内部流程”。该协会成员包括西门子、生产加热设备的博世AG子公司Bosch Thermotechnik GmbH等知名企业。
根据提案,带有数字组件的产品必须附带标签,说明其符合新规则并注明提供网络支持的时限。此项提案未涵盖受其他法律监管的医疗设备和汽车。
强制公开软件物料清单
在正式获批执行之前,立法者还需要就提案细节进行谈判,这一过程预计需要几个月时间。之后,企业将有两年的过渡准备期。
该提案称,企业需要公布软件物料清单(SBOM),详细列出每款产品中使用的组件,以帮助制造商监控供应链并跟踪安全漏洞。
一位参与提案起草的欧盟官员表示,物料清单的灵感来自美国总统拜登2021年签署的网络安全行政令。该命令要求联邦政府的各软件提供商披露产品中包含的组件。
关键产品需增加安全评估
这份草案还包括一份清单,囊括必须由第三方独立机构进行网络安全评估的38种关键技术产品。上述欧盟官员称,关键技术产品包括密码管理器和防火墙等软件,微控制器、工业物联网设备及智能电表等硬件。它们被认定是至关重要的,一旦遭到黑客入侵,极有可能引发巨大影响。不过,这位官员也提到,大约90%的企业应该只需要做自我安全认证。
图:38种关键技术产品清单
总部位于比利时布鲁塞尔的家电制造商协会Applia总干事保罗·法尔乔尼(Paolo Falcioni)表示,部分制造商担心第三方安全审查会推迟产品的发布时间,“这本质上是限制了产品的上市速度。”
提案还预留了部分空间,允许欧盟委员会划定“非常关键”类产品清单,这部分产品将必须接受欧盟网络安全专家的单独认证。
谢勒还提到,该法案定义的关键产品清单已经太过宽泛,其中不少产品可能根本不会被用于关键场景。他解释道,“同样一种能够接入网络的组件,在不同的应用场景下自然要对应不同的安全要求。它既可能被装在可口可乐售货机上,也可能被部署在核电站当中。”
与此同时,消费者权益倡导者们却认为这份清单还应该进一步扩展。位于布鲁塞尔的欧洲消费者组织的法律官员克劳迪奥·特谢拉 (Claudio Teixeira)认为,一旦可穿戴设备、联网玩具或家用恒温器等常见产品的信号被黑客劫持,很可能会造成重大损害。
去年,比利时消费者组织Test-Achats测试了16种联网设备,包括婴儿监视器、智能吸尘器和智能电视。其中10种存在严重安全漏洞,包括默认密码强度太低、缺少数据加密等,因此极易遭黑客入侵。特谢拉表示,“这让我们意识到,这部分市场存在很大问题。”
参考资料:https://www.wsj.com/articles/eu-proposes-strict-cybersecurity-rules-for-digital-product-makers-11663234266
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。