關於網路安全認證,客戶最通常詢問的第一個問題是:"這是強制要求認證的嗎?
簡單的回答是“是的”。 但和所有的認證一樣,都有具體針對性。而且具體的要求還是快速變化的。 讓我們來概覽一下: 當前哪些國家有強制要求網路安全認證;接下來,又會有哪些國家將要實行強制的網路安全認證方案?很多人習慣把沒有強制認證方案解讀成沒有強制需要符合的要求,當然,事實並不是這樣的。 以歐盟LVD 低電壓指令為例,指令本身沒有強制的認證要求,但是產品仍必須符合指令以及指令當中所列的對應標準。
我們來看看不同的地區對網路安全的要求。
歐洲
| GDPR - 通用資料保護法規 | 強制性 |
| RED- 無線設備指令 | 即將強制 (2024年8月1日起) |
| EU 網路安全法 | 強制性,但... |
| UK IoT 法令 | 即將強制 |
| 芬蘭網路安全標籤 | 自願性 |
GDPR – 通用資料保護法規
雖然不被認為是典型的“網路安全”,但資訊安全是網路安全的重要組成部分。對於個人資訊的保護,網路安全是先決條件,而網路安全標準,如歐洲消費者物聯網規範,規定了一套關於處理各類個人資訊的要求。使用不符合這些要求的產品將危及您的GDPR遵從性。
RED - 無線設備指令
雖然,無線指令並不是很多人認為的網路安全指令,但是RED指令第3章包含了保護網路和個人資訊的條款。此前由於沒有恰當的評估標準,這些條款尚未生效,但是隨著RED指定補充的委託法規於2022年1月1日生效,這些條款也被啟動。 從2024年8月1日起,無線指令RED 的CE 識別字合性評估將必須包含指令第三章所述的網路資訊安全評估。相關的評估標準已經由歐盟委員會委託三個歐盟標準化組織: ETSI, CEN, CENELEC 制定中。相關進展將進一步更新。
EU 網路安全法
該法案描述了產品、服務和程式控制的認證方案。相關針對Level 2 和 Level 3 產品的認證方案於2020年7月發佈草案,並於2021年第二季度發佈了最終版。雖然該認證是自願的,但其實際要求並非自願滿足。對於消費級物聯網產品,認證使用的標準是ETSI/EN 303 645,Nemko已經在使用該標準提供網路安全的評估和認證。
UK
英國正在實施一項強制性網路安全法規,該法規適用於所有進入英國市的物聯網消費產品。產品必須通過立法規定的安全要求或指定的標準,確保滿足指定的安全措施。最近發佈的EN 303 645就是“指定標準清單”上的其中一個標準,預計該標準清單將隨著時間的推移而增加,以幫助企業簡化他們的工作。具有諷刺意味的是,考慮到英國脫歐,英國的監管比《歐盟網路安全法》更符合典型的指令。英國的法規有兩種替代途徑——要麼執行立法中詳細規定的安全要求,要麼滿足列出的標準要求。由於英國在ETSI/EN 303 645標準的發展中發揮了重要作用,因此特別提到了該標準。此外,執法機構將有權進行調查,並採取措施確保法規符合性。
芬蘭
以Traficom為代表的芬蘭當局推出了一項物聯網消費品標籤計畫。這樣做既是為了展示產品安全性,也為了促進提高消費者的普遍意識。標籤方案使用ETSI/EN 303 645 作為主標準,同時加了一些內容。Nemko目前已完一個試點項目,讓Traficom接受Nemko物聯網網路認證方案作為芬蘭網路安全標籤的基礎。
美國
| 物聯網網路安全改進法案 | 很快將强制 |
| 加州法令 | 强制性 |
| 俄勒岡州法令 | 强制性 |
2020年12月,美國總統簽署了物聯網網路安全改進法案,對聯邦機構使用的物聯網設備提出了要求。由於聯邦機構基本上可以使用任何物聯網設備,這將成為美國事實上的要求。該法規目前只等待NIST(國家標準與技術研究所)最終確定標準和指導方針。這意味著我們可以期待美國將會實施類似現在產品安全要求的網路安全要求。
加州法案
作為全球第五大經濟體,美國加州於2020年1月1日推出了聯網消費品的要求。使用ETSI/EN 303 645標準的Nemko網路安全認證將涵蓋該法的要求。
俄勒岡州
俄勒岡州也於2020年1月1日對物聯網產品提出了類似要求。就像加州的法律一樣,Nemko的網路安全認證方案也將涵蓋這些要求。
亞洲
| 新加坡 | 强制性 |
| 中國 | 强制性 |
新加坡資訊媒體發展局(IMDA)於2021年4月12日對所有新的住宅閘道/路由器提出強制性要求。從2021年10月12日起,市場上的所有此類產品必須符合IMDA TS RG_SEC 的要求。之所以選擇這些產品,是因為它們在網路資訊安全方面特別重要,這些設備是直接連接到互聯網的第一道防線。這類產品已經成為幾次全球惡意攻擊的目標,例如臭名昭著的Mirai蠕蟲事件。
新加坡的這一方案具體要求與歐洲標準ETSI/EN 303 645相似。
中國
依據《網路安全法》第二十三條的規定,對網路關鍵設備和網路安全專用產品需依據國家標準強制性要求開展安全認證。對應的實施規則是CNCA-CCIS-2018。具體在範圍內的產品可查閱實施規則附件1。
製造商該怎麼做?
不同製造商對網路安全的關注和知識差異很大,但絕大多數都不符合當今的網路安全標準。這些標準目前雖然還不是所有國家都必須遵守的,但是在目前正在設計的產品的生命週期內,大多數市場都需要這些標準。
根據製造商的不同成熟度,可以從不同的切入點開始網路安全標準的結構化工作。那些新進入該領域的製造商可以選擇先對標準進行學習和瞭解。
更成熟的製造商可以選擇直接去評估他們的產品是否符合標準。在進行這樣的評估時,邀請像Nemko這樣的標準專家參與將是有益的。通過使用知識淵博且經驗豐富的專家根據標準進行評估,也要能夠向客戶表明評估是由獨立的協力廠商機構完成的,確保了公正性。
更多有關網路安全認證的更新資訊,請聯繫我們 marketing.tw@nemko.com。(02)8797-8790
Danny Lu
Danny Lu先生加入 Nemko Group AS 台灣分公司超過 15 年,現在負責三大領域包括關鍵客戶管理、行銷企劃和新業務開發。Danny 擁有亞利桑那州立大學 MBA 碩士學位,在開拓新業務及市場發展方面擁有極豐富的經驗。