欧盟发布《网络弹性法案》
| 来源:【字号:大 中 小】
9月15日,欧盟委员会提议制定《网络弹性法案》(Cyber Resilience Act),要求所有在欧盟市场上销售的可联网数字化设备和软件在设计、生产、运营及维护等整个生命周期都必须满足欧盟设定的强制性网络安全标准。
该法案提出了四个具体目标:(1)确保制造商在整个生命周期内提高具有数字元素的产品的安全;(2)确保网络安全框架的一致性,促进硬件和软件生产商的合规性;(3)提高网络安全实践、产品性能及其制造商的透明度;(4)为消费者和企业提供随时可用的安全产品。
《网络弹性法案》豁免了已经有相关立法的相关设备,例如受《医疗器械条例》(条例(EU)2017/745)、体外诊断医疗器械条例(条例(EU)2017/746)、《车辆通用安全条例》(条例(EU)2019/2144)和《民用航空条例》(条例(EU)2018/1139)监管的数字产品。该法案并不豁免欧洲数字身份钱包、电子健康记录系统或具有高风险人工智能系统的产品。
该法案不适用于软件即服务,除非软件即服务是具有数字元素的产品的整体远程数据处理解决方案的一部分。该法案应仅适用于在商业活动过程中开发或提供的免费开源软件。该法案还为后续进一步制定部门立法留出了余地。
该法案要求公司在产品的初始设计和开发过程中解决信息安全和其他网络安全漏洞,这一过程通常被称为设计安全。法案将涵盖的产品分为三类:I类、II类、未分类或默认。
I类产品的网络安全风险级别低于II类产品,但风险级别高于未分类或默认类别,包括:身份和访问管理软件,浏览器,密码管理器,恶意软件检测,使用虚拟专用网络的产品,网络管理、配置、监控和资源管理工具,安全信息和事件管理系统,更新和补丁管理工具,移动设备和应用程序管理软件,远程访问软件,物理网络接口,微控制器,供网络和信息系统(NIS2)指令中描述的基本实体使用的集成电路和门阵列,未在《网络弹性法案》II类涵盖的操作系统、防火墙、路由器、调制解调器、微处理器、工业自动化和控制系统以及工业物联网。
II类是高风险产品,具有与关键网络安全漏洞相关的数字元素。包括:操作系统,虚拟机管理程序和容器运行时系统,公钥基础结构和数字证书颁发者,工业用防火墙,工业入侵检测/防御系统,通用微处理器,用于可编程逻辑控制器和安全元件的微处理器,工业用路由器,工业用调制解调器,工业开关,安全元件,硬件安全模块,安全加密处理器,智能卡、读卡器和令牌,供NIS2中描述的基本实体使用的工业自动化和控制系统,供NIS2中描述的基本实体使用的工业物联网设备,机器人传感和执行器组件以及机器人控制器,智能电表。
对于未分类或默认类别的产品,制造商将负责确定和声明其产品满足所有必要的安全和漏洞要求。这些制造商必须提供技术文件,贴上合格标志,并起草书面的欧盟符合性声明。
制造商必须接受第三方合格评定,或对I类产品应用统一标准或欧洲网络安全认证方案。II类产品制造商只能通过第三方合格评定来证明符合性。
该法案在立法第8条中对高风险人工智能系统有特殊规定。这些规定仅适用于《人工智能法》草案定义的高风险人工智能系统。
信息来源:
https://datainnovation.org/2022/09/an-overview-of-the-eus-cyber-resilience-act/