欧盟的专业政策媒体网络 EURACTIV 此前报道了即将提交的网络弹性法草案,该草案要求对连网设备(例如物联网设备)提出更严格的基本网络安全要求。
未来的法律旨在解决广泛影响物联网行业的漏洞,由于其高度互联性,单个设备入侵造成的损害可能会对整个组织、供应链甚至全球范围产生巨大的破坏性附带影响。
如果生效,这将是世界上第一个为所有连网设备引入立法框架的立法,以确保在连网产品的整个生命周期内实现更多网络安全保护。
根据该提案的条款,物联网产品的制造商必须在设备上市前的设计、开发和生产阶段满足要求,并且必须持续监测,以便可以通过免费的自动更新在整个生命周期中识别漏洞。
该法案称:“从制造商到分销商和进口商,运营商在将带有数字元素的产品投放市场时,将以适合其在供应链中角色和责任的方式承担义务。”
要求清单包括“适当”级别的网络安全、禁止发布已知漏洞、默认安全配置、防止未经授权的访问、限制攻击面和最小化事件影响。
此外,产品必须保证数据的机密性,包括通过加密,并且只处理其运营所必需的数据。制造商还需要通过定期测试来识别漏洞,及时解决它们,并报告事件和被利用的漏洞。
制造商还必须通过内部程序或认证机构的审查进行合格评定。进口商和分销商有义务核实产品的一致性。
如果该法案成为法律,对违规行为的罚款可能高达 1500 万欧元或年营业额的 2.5%(以高者为准)。拟议的规则将在生效24个月后开始适用,但制造商的报告义务将从12个月起适用。
欧盟委员会估计,如果《网络弹性法案》获得通过,每年可为欧洲经济节省 180 至 2900 亿欧元。
背景
欧盟委员会已于2022年3月发起了一项公众咨询,以收集所有相关方对新欧洲网络弹性法案的看法和经验。
该倡议最初是由欧盟主席乌尔苏拉·冯·德·莱恩在2021年9月的一次演讲中宣布的。该法律将为投放到欧盟市场的数字产品和服务制定网络安全规则。
乌尔苏拉•冯•德•莱恩说:“如果一切都是连网的,一切都可以被黑。由于资源匮乏,我们不得不集中力量……这就是我们需要欧洲网络防御政策的原因。”
《网络弹性法案》有望补充现有的欧盟立法框架,其中包括网络和信息系统安全指令(NIS)和《网络安全法》,以及未来的指令,其中包括2020年12月提出的提高整个地区网络安全共同水平的措施(NIS 2)。
公众咨询一直开放到了 2022 年 5 月 25 日。此外,委员会已发布呼吁,概述当前发现的问题以及解决这些问题的可能方法。电话会议也在公众咨询的同时进行。
