經過多年的討論,歐盟委員會決定在涵蓋大部分物聯網和無線產品的無線電設備指令 (RED) 中實施網絡安全。 任何進一步評論或延遲的最終截止日期在 12 月結束,因此從 2022 年 1 月 1 日開始,30 個月的倒計時開始到 2024 年 8 月,屆時網絡安全將正式成為無線電設備 CE 標誌的強制性要求。
新要求的背景
網絡安全要求一直是 RED 的一部分,但是,由於不確定如何證明合規性,這部分文本直到現在都沒有實施。
相關要求可在 RED 第 3(3) d)、e) 和 f) 條中找到,簡而言之,這些要求是:
(d) 不損害或濫用網絡,導致不可接受的服務減少
(e) 保護個人數據和隱私
(f) 防止欺詐
目前沒有針對這些要求指定標準,因此歐盟委員會已要求歐洲標準化組織(ETSI、CEN 和 CENELEC)制定相關標準,以便製造商可以相應地評估其產品。
然而,這並不意味著沒有網絡安全標準。 2020年,ETSI發布了“消費者物聯網網絡安全”,被認為是最接近預期要求的標準。
您應該如何以及何時準備
等待最終標準發布並不是一個好的產品合規策略,因為標準的完成時間可能會延遲,而法規的實施則不會。因此,標準發布和要求生效之間的時間可能很短,使您很難實施要求和更改。
為了準備這些標準,我們建議您熟悉 ETSI 的“消費者物聯網網絡安全”,因為這被認為是即將出台的標準的良好指南。現在評估您的產品而不是等待標準發布的另一大優勢是,這將使您有時間在下一個產品中實施任何缺陷,其中要求將在 30 個月(2024 年 8 月 1 日)內成為強制性要求。
如何開始
根據我們的經驗,許多製造商推遲開始實施和遵守網絡安全標準——主要有兩個原因:
網絡安全法規知識有限;傳統產品未聯網的製造商通常在網絡安全方面經驗有限
對正式標準的了解有限;製造商在製造互聯產品方面擁有豐富經驗,但可能對網絡安全標準缺乏經驗,這些標准通常包括超出傳統意義上的網絡安全要求的要求。
兩組都應首先介紹標準,根據製造商的經驗,重點關注技術或形式部分。
另一種選擇是根據標準對產品進行差距分析。這為製造商留下了一份具體而有價值的必要改進清單,以便在他們的下一個產品中實施。
聯繫 Nemko 以了解更多關於我們如何幫助您使用上述服務的信息,以及通過漏洞和滲透測試等方式進一步幫助提高安全性。