Aug 21, 2023
2023年7月20日,歐盟委員會發佈授權法規C(2023)4823,修訂了無線電設備RED指令2014/53/EU關於網路資訊安全、隱私保護和防止欺詐要求的授權法規2022/30的強制執行的日期。
授權法規2022/30 啟動了RED指令第三章關於網路資訊安全的要求,原計劃從2024年8月1日起強制執行,現在延期到2025年8月1日起強制執行。12個月的延長期為製造商提供了必要的時間來充分瞭解新標準的影響,有效地實施這些標準,並準備他們的產品合規計畫,這也將使消費者受益。
評估RED指令授權法規2022/30網路資訊安全基本要求的協調標準還在制定過程中,目前預計協調標準將會於2024年6月發佈。此次延期也為歐洲標準化組織(ESOs)提供了額外的關鍵時間。
需要注意的是,本次發佈的授權法規C(2023) 4823同時還包括一個用詞糾正:2023/30 Article 1(2)中的“交通資料和位置資料”糾正為“交通資料或位置資料”。
延期究竟是好消息還是壞消息?
消費者來說,這不是好消息。由於網路安全不是CE標識的一部分,消費者還沒有很好的方法來確保他們購買的產品得到充分的保護。現在,CE標識包含網路安全評估的日期又推遲了一年。然而,如果現實情況是許多製造商無法在原定的最後期限前滿足要求,那麼過快地實施監管也可能會給人一種虛假的安全感。
對於製造商來說,延期解決了缺乏協調標準的重大問題;目前預計協調標準的發佈日期是2024年6月, 這意味著他們現在有好的機會做好網路安全符合性的準備,但他們仍然需要現在開始這個符合性準備和評估的過程。
從積極的方面來看,有更多的時間來制定標準意味著會發展出更健全的標準,從長遠來看,這將為設備提供更好的安全性保護,最終有利於消費者的安全。
現在該怎麼做?
法規延期執行後,最糟糕的陷阱是什麼都不做! 雖然CE標識強制要求網路安全評估的正式執行日期被推遲,但至少有四個很好的理由保持網路安全符合性的步伐:
⏳時間
時間是至關重要的。在強制日期到來之前,製造商不僅要確保新設計的產品符合標準要求後再投入生產, 從而進入市場; 而且需要,及時替換已經在市場上的產品, 使之符合標準要求。
🌏不僅是歐盟
不僅歐盟要求網路安全,世界其他地區也相繼推出多項舉措積極推進網路資訊安全法規的執行。亞洲和北美都是如此,與歐盟關係密切的英國也是如此。脫離歐盟後的英國已經宣佈將於2024年4月29日期實施強制性的網路安全評估要求。ETSI EN 303 645正好可以涵蓋英國的要求。
👾 對網路安全的需求不是由指令控制的!
引用在布魯塞爾舉行的歐盟網路安全會議上一位元發言者的話來說—“駭客不等待監管!” 連網設備面臨的威脅逐年增加,再加上連網設備數量不斷增長,對安全產品的需求也比以往任何時候都高。此外,網路安全事故對品牌的損害可能是巨大的。
✔️證明遵從性
正如没有人會銷售不符合相關安全標準的產品,也沒有大買家會考慮購買不符合相關安全標準的產品一樣,對於網路安全標準的符合性,將來也會這樣。通過標準定義可接受的最低安全級別,製造商根據該標準確認產品的符合性並以文件證明。例如: 對於歐洲,它可能是IEC或ETSI標準,對於美國,它可能是NIST標準。這些標準已經很相似,並有可能在未來進一步合併。
結論——重點關注標準符合性
强制日期的延遲解決了主要市場之一歐盟(EU)在統一標準方面的困惑,表明正在進行的標準將發生重大變化; 但並不會顯著改變解決網路安全問題的必要性和緊迫性。預計明年許多製造商將選擇使用其他已定義的標準來證明符合性,例如ETSI EN 303 645, NIST IR 8259A或IEC 62443。
能够向大買家和消費者展示並記錄網路安全合規性,將使你的產品與那些沒有充分解決網路安全符合性問題的產品區分開來,從而在競爭中極具優勢!
Nemko 網路安全服務
Nemko集團自2020年成功收購挪威國家安全局認可的一家資訊安全測試實驗室起,已持續在為全球範圍內的物聯網設備製造商提供網路資訊安全服務。在國內,我們具有本地工程師並和本地認可的多家權威實驗室合作,為物聯網設備提供當地語系化的網路資訊安全評估、諮詢和認證服務。我們的服務包括:
-
提供網路產品開發階段的資訊安全設計諮詢和預檢。 -
提供評估, 證明產品符合RED 指令Article 3關於網路安全的要求 -
依據ETSI/EN 303 645或各國網路安全法規進行評估, 出具符合性證明或認證。
歡迎聯繫我們瞭解更多詳情!Email: marketing.tw@nemko.com or danny.lu@nemko.com