前情回顾·欧盟网络安全战略拼图

安全内参10月31日消息,欧盟政策制定者对开源软件以及即将出台的《网络弹性法案》中的支持期限的态度正在逐渐清晰。

《网络弹性法案》立法提案引入了联网设备的安全要求。草案目前已经进入立法过程的最后一步。欧洲议会、理事会和委员会将在“三方会谈”中协商最终文本。

根据外媒Euractiv看到的妥协版文本,欧盟政策制定者正在就文本的两个关键部分达成一致:如何监管开源软件、如何定义支持期限(制造商保证安全更新的期限)。

如果得到确认,这些文本内容可能会在11月8日的下一轮三方会谈上得到政治层面的认可。

开源软件实施分层安全管理

草案的主要讨论点之一是如何处理开源软件,这是数字领域创新的关键推动因素。欧盟谈判代表正基于10月20日最初发布的妥协文本展开讨论。

尽管开源软件的特点是协作开发,但权利持有人可以以不同方式控制最终代码内容和商业化方式。

这两个因素决定了开源软件能在多达程度上符合即将出台的网络安全法的要求。因此,欧盟政策制定者提出了一种分层方法,每一层级都有相应的义务

如果商业实体单独开发并控制产品内置开源软件,就必须履行《网络弹性法案》的所有义务,包括基本要求、技术文档、合规标志和市场监管。

更复杂的情况下,开源软件是在支持组织支持下协作开发,如开源软件基金会或“管理者”,欧盟的想法是引入一种义务明确的轻量级制度。该制度为开源软件管理者量身定制的要求包括:启用并推动漏洞处理流程,包括立即发布安全补丁、报告已被积极利用的漏洞。同时,开源软件管理者将不会受到罚款,因为归责可能特别复杂。他们也不必展示合规标志,以显示其符合欧盟法规。

最后,如果软件为协作开发,即没有一个单一实体决定项目代码内容和市场化模式,将不受《网络弹性法案》管理。

此外,文本规定,开发者对开源项目的个人贡献不被视为“制造活动”。对于在开放存储库中托管开源软件的实体,只要在免费许可下提供软件,就不被视为分销商。

文本授权欧洲委员会制定下位法,建立安全认证计划,指导开源软件开发者和用户自愿评估是否符合欧盟法律,帮助制造商将开源组件集成到产品中。

数字产品支持期限一般为5年

在支持期限内,制造商必须确保处理漏洞,及时发布安全补丁。最初的提案指出,支持期限应等同预期产品寿命周期或持续五年,以二者较短者为准。

欧洲议会和理事会取消了五年期限制,给制造商更多的自主权,方便他们在这一方面展开竞争。Euractiv看到的一份日期为10月24日的妥协文本以另一种形式重新引入了五年的时间框架。

Euractiv认为这一文本已经大致定型。文本规定:“除非数字元素产品的预期使用期不到五年,否则支持期限不得少于五年。”

在确定支持期限时,制造商必须考虑产品预期使用时间、合理的用户期望、产品性质以及市场上类似产品的支持期限。

设置支持期限的理由需在技术文档中载明。支持期限也需要展示在产品包装上。

根据妥协文本,每个安全更新应至少保持可用十年。同样,技术文档的可用其应达到十年或等同产品支持期限,以二者较长者为准。

参考资料:https://www.euractiv.com/section/cybersecurity/news/eu-policymakers-advance-on-open-source-software-support-period-in-new-cybersecurity-law/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。