该委员会周四(9月15日)提出了《网络弹性法案》的提案,该法案旨在解决网络安全漏洞通过安全设计方法连接设备。
继新立法框架(NLF)之后,网络弹性法案(CRA)将对进入欧盟内部市场的“含有数字元素的产品”提出网络安全要求。硬件和软件都包含在这样一个基本原理下:当所有东西都连接在一起时,所有东西都是脆弱的。
除了对产品属性、漏洞和处理的要求之外,还有透明度和用户信息规范,因为CRA旨在增强消费者对产品的信任和信心。
“这是我们安全联盟议程中的一项主要成果。因为它填补了我们法律框架中真正重要的空白,”欧盟委员会副主席玛格里蒂斯·斯希纳斯在一次新闻发布会上说。
斯希纳补充说,这项立法将从服务安全过渡到产品安全,“以保护消费者和企业免受安全功能不足的产品的影响”,因为制造商将必须确保他们将数字安全的产品推向市场。
来自欧盟网络安全机构(ENISA)的数据显示,2021年,全球勒索软件造成的损失约为200亿欧元。2021年,大约每11秒就会发生一起企业勒索软件攻击,这一事实也证明了问题的紧迫性。
斯希纳斯指出,这一立法文件的目标不仅是监管国内市场,而且是成为一个“国际参照点”。
CRA不是第一个解决网络安全问题的欧盟立法文件,相反,它旨在补充之前的文本,如人工智能法案,网络安全法案和网络信息安全指令2 (NIS2)。
NIS2指令所涵盖的软件即服务(SaaS)将不会成为目标,如果不是为商业用途开发或提供免费和开源软件也不会成为目标。
EURACTIV看到了丹麦、德国和荷兰的一份非文件,该文件提出SaaS也应该包括在内,而且产品是为消费目的还是商业目的不应受到影响。
这份日期为9月13日的非文件,基于不同的保证级别,推动对所有数字产品、流程和服务提出更严格的网络安全要求,无论它们是用于消费者还是工业用途。
其他将被排除在范围之外的产品是医疗设备或机动车辆,因为针对特定部门的立法已经到位。对于这三个国家来说,新的网络安全法将是横向立法,具体部门的立法将作为专门法建立在此基础上。
制造商必须确保在预期的产品生命周期内,或在投放市场后的五年(以较短者为准)内,漏洞得到有效处理。
CyEn咨询公司的网络安全专家伊娃•塔舍瓦(Iva Tasheva)表示,考虑到该规定的范围之广,可能很难确定一个“一刀切”的规定。Tasheva建议,一个可能的解决方案是选择基于风险的方法来承担支助期。
一旦通过,经济经营者和成员国将有两年的时间来适应新要求。报告积极利用的漏洞和事件的义务将在12个月后生效。
制造商必须在24小时内通知欧盟网络安全机构(ENISA),如果意识到任何积极利用的产品漏洞或任何安全影响事件。
这听起来可能很熟悉,因为NIS2指令也要求在24小时内报告事件。然而,今年早些时候,ENISA的负责人表示,报告系统太过官僚,“不起作用”。
Tasheva说:“这仍然具有挑战性,特别是在CRA范围很广的情况下,任何被积极利用的产品,即使没有与之相关的重大风险,也必须得到通知。”
Tasheva补充说,报告可能会为过度通报打开大门,为制造商带来不合规风险,特别是因为事件报告要求将在12个月后生效。
尽管该提议对总部位于布鲁塞尔的数字技术行业协会“数字欧洲”(DIGITALEUROPE)来说是向前迈出的重要一步,但他们担心,该提议可能包含太多内容,而且内容过早。
“受立法重叠和不一致影响最大的是有形产品,这也是大多数保护缺口可以弥补的地方。DIGITALEUROPE总干事Cecilia Bonefeld-Dahl在接受EURACTIV采访时表示,另一方面,将所有软件包括在内还为时过早,可能无法实现预期的效益。
Bonefeld-Dahl补充说,在工业界和政府都在“与紧张的网络资源作斗争”的时候,重点应该放在取得实际成果上。
德国工业联合会欢迎委员会区分产品类别及其安全要求。BDI执行董事会成员Iris Plöger表示,关键基础设施和智能电视等日常产品不应归为一类。
虽然CRA下所有带有数字元件的产品都应带有CE标记,但关键产品的不同保证级别之间的区别在于合格评定程序。
对于关键的I类产品,如网络管理系统,制造商可自行负责进行合格评定。对于属于关键II类的产品,如公钥基础设施、数字证书颁发机构等,应由第三方参与合格评定。
卢卡·贝尔图兹对报道亦有贡献。
