关于网络安全认证,客户最通常询问的第一个问题是:"这是强制要求认证的吗?
简单的回答是“是的”。 但和所有的认证一样,都有具体针对性。而且具体的要求还是快速变化的。 让我们来概览一下: 当前哪些国家有强制要求网络安全认证;接下来,又会有哪些国家将要实行强制的网络安全认证方案?
很多人习惯把没有强制认证方案解读成没有强制需要符合的要求,当然,事实并不是这样的。 以欧盟LVD 低电压指令为例,指令本身没有强制的认证要求,但是产品仍必须符合指令以及指令当中所列的对应标准。
我们来看看不同的地区对网络安全的要求。
GDPR - 通用数据保护法规 | 强制性 |
RED- 无线设备指令 | 即将强制 (2024年8月1日起) |
EU 网络弹性法案 | 将会强制之星 |
EU 网络安全法 | 强制性,但... |
UK IoT 法令 | 强制性 |
芬兰网络安全标签 | 自愿性 |
GDPR – 通用数据保护法规
虽然不被认为是典型的“网络安全”,但信息安全是网络安全的重要组成部分。对于个人信息的保护,网络安全是先决条件,而网络安全标准,如欧洲消费者物联网规范,规定了一套关于处理各类个人信息的要求。使用不符合这些要求的产品将危及您的GDPR遵从性。
RED - 无线设备指令
虽然,无线指令并不是很多人认为的网络安全指令,但是RED指令第3章包含了保护网络和个人信息的条款。此前由于没有恰当的评估标准,这些条款尚未生效,但是随着RED指定补充的委托法规于2022年1月1日生效,这些条款也被激活。 从2024年8月1日起,无线指令RED 的CE 标识符合性评估将必须包含指令第三章所述的网络信息安全评估。相关的评估标准已经由欧盟委员会委托三个欧盟标准化组织: ETSI, CEN, CENELEC 制定中。相关进展将进一步更新。
EU 网络弹性法案
这项即将实施的法规将把网络信息安全要求纳入到所有具备数字元素的设备的CE标识要求当中。因此它将改变欧洲网络信息安全要求的模式。第一版EU《网络弹性法案》的草稿已经于2023年底发布。预计将于未来几年内正式实施。
《网络弹性法案》和CE标识的其它指令/法规类似,如RED指令和EMC指令等。 也会采用协调标准进行评估,并要求制造商出具符合性声明,准备相关的技术文档等。对于高风险的产品或不具有协调标准的设备,也要求使用第三方公告机构(NB)来进行符合性评估。
EU 网络安全法
该法案描述了产品、服务和过程控制的认证方案。相关针对Level 2 和 Level 3 产品的认证方案于2020年7月发布草案,并于2021年第二季度发布了最终版。虽然该认证是自愿的,但其实际要求并非自愿满足。对于消费级物联网产品,认证使用的标准是ETSI/EN 303 645,Nemko已经在使用该标准提供网络安全的评估和认证。
UK
英国正在实施一项强制性网络安全法规,该法规适用于所有进入英国市的物联网消费产品。产品必须通过立法规定的安全要求或指定的标准,确保满足指定的安全措施。最近发布的EN 303 645就是“指定标准清单”上的其中一个标准,预计该标准清单将随着时间的推移而增加,以帮助企业简化他们的工作。具有讽刺意味的是,考虑到英国脱欧,英国的监管比《欧盟网络安全法》更符合典型的指令。英国的法规有两种替代途径——要么执行立法中详细规定的安全要求,要么满足列出的标准要求。由于英国在ETSI/EN 303 645标准的发展中发挥了重要作用,因此特别提到了该标准。此外,执法机构将有权进行调查,并采取措施确保法规符合性。
芬兰
以Traficom为代表的芬兰当局推出了一项物联网消费品标签计划。这样做既是为了展示产品安全性,也为了促进提高消费者的普遍意识。标签方案使用ETSI/EN 303 645 作为主标准,同时加了一些内容。Nemko目前已完一个试点项目,让Traficom接受Nemko物联网网络认证方案作为芬兰网络安全标签的基础。
物联网网络安全改进法案 | 很快将强制 |
加州法令 | 强制性 |
俄勒冈州法令 | 强制性 |
物联网网络安全改进法案
2020年12月,美国总统签署了物联网网络安全改进法案,对联邦机构使用的物联网设备提出了要求。由于联邦机构基本上可以使用任何物联网设备,这将成为美国事实上的要求。该法规目前只等待NIST(国家标准与技术研究所)最终确定标准和指导方针。这意味着我们可以期待美国将会实施类似现在产品安全要求的网络安全要求。
加州法案
作为全球第五大经济体,美国加州于2020年1月1日推出了联网消费品的要求。使用ETSI/EN 303 645标准的Nemko网络安全认证将涵盖该法的要求。
俄勒冈州
俄勒冈州也于2020年1月1日对物联网产品提出了类似要求。就像加州的法律一样,Nemko的网络安全认证方案也将涵盖这些要求。
新加坡 | 强制性 |
中国 | 强制性 |
新加坡
新加坡信息媒体发展局(IMDA)于2021年4月12日对所有新的住宅网关/路由器提出强制性要求。从2021年10月12日起,市场上的所有此类产品必须符合IMDA TS RG_SEC 的要求。之所以选择这些产品,是因为它们在网络信息安全方面特别重要,这些设备是直接连接到互联网的第一道防线。这类产品已经成为几次全球恶意攻击的目标,例如臭名昭著的Mirai蠕虫事件。
新加坡的这一方案具体要求与欧洲标准ETSI/EN 303 645相似。
中国
依据《网络安全法》第二十三条的规定,对网络关键设备和网络安全专用产品需依据国家标准强制性要求开展安全认证。对应的实施规则是CNCA-CCIS-2018。 具体在范围内的产品可查阅实施规则附件1。
不同制造商对网络安全的关注和知识差异很大,但绝大多数都不符合当今的网络安全标准。这些标准目前虽然还不是所有国家都必须遵守的,但是在目前正在设计的产品的生命周期内,大多数市场都需要这些标准。
根据制造商的不同成熟度,可以从不同的切入点开始网络安全标准的结构化工作。那些新进入该领域的制造商可以选择先对标准进行学习和了解。
更成熟的制造商可以选择直接去评估他们的产品是否符合标准。在进行这样的评估时,邀请像Nemko这样的标准专家参与将是有益的。通过使用知识渊博且经验丰富的专家根据标准进行评估,也要能够向客户表明评估是由独立的第三方机构完成的,确保了公正性。
更多有关网络安全认证的更新信息,请联系我们info.cn@nemko.com,也欢迎您关注Nemko微信公众号。