2023年7月20日,欧盟委员会发布授权法规C(2023)4823,修订了无线电设备RED指令2014/53/EU关于网络信息安全、隐私保护和防止欺诈要求的授权法规2022/30的强制执行的日期。
授权法规2022/30 激活了RED指令第三章关于网络信息安全的要求,原计划从2024年8月1日起强制执行,现在延期到2025年8月1日起强制执行。12个月的延长期为制造商提供了必要的时间来充分了解新标准的影响,有效地实施这些标准,并准备他们的产品合规计划,这也将使消费者受益。
评估RED指令授权法规2022/30网络信息安全基本要求的协调标准还在制定过程中,目前预计协调标准将会于2024年6月发布。此次延期也为欧洲标准化组织(ESOs)提供了额外的关键时间。
需要注意的是,本次发布的授权法规C(2023) 4823同时还包括一个用词纠正:2023/30 Article 1(2)中的“交通数据和位置数据”纠正为“交通数据或位置数据”。
延期究竟是好消息还是坏消息?
消费者来说,这不是好消息。由于网络安全不是CE标识的一部分,消费者还没有很好的方法来确保他们购买的产品得到充分的保护。现在,CE标识包含网络安全评估的日期又推迟了一年。然而,如果现实情况是许多制造商无法在原定的最后期限前满足要求,那么过快地实施监管也可能会给人一种虚假的安全感。
对于制造商来说,延期解决了缺乏协调标准的重大问题;目前预计协调标准的发布日期是2024年6月, 这意味着他们现在有好的机会做好网络安全符合性的准备,但他们仍然需要现在开始这个符合性准备和评估的过程。
从积极的方面来看,有更多的时间来制定标准意味着会发展出更健全的标准,从长远来看,这将为设备提供更好的安全性保护,最终有利于消费者的安全。
现在该怎么做?
法规延期执行后,最糟糕的陷阱是什么都不做! 虽然CE标识强制要求网络安全评估的正式执行日期被推迟,但至少有四个很好的理由保持网络安全符合性的步伐:
⏳时间
时间是至关重要的。在强制日期到来之前,制造商不仅要确保新设计的产品符合标准要求后再投入生产, 从而进入市场; 而且需要,及时替换已经在市场上的产品, 使之符合标准要求。
🌏不仅是欧盟
不仅欧盟要求网络安全,世界其他地区也相继推出多项举措积极推进网络信息安全法规的执行。亚洲和北美都是如此,与欧盟关系密切的英国也是如此。脱离欧盟后的英国已经宣布将于2024年4月29日期实施强制性的网络安全评估要求。ETSI EN 303 645正好可以涵盖英国的要求。
👾 对网络安全的需求不是由指令控制的!
引用在布鲁塞尔举行的欧盟网络安全会议上一位发言者的话来说——“黑客不等待监管!” 连网设备面临的威胁逐年增加, 再加上连网设备数量不断增长,对安全产品的需求也比以往任何时候都高。此外,网络安全事故对品牌的损害可能是巨大的。
✔️证明遵从性
正如没有人会销售不符合相关安全标准的产品,也没有大买家会考虑购买不符合相关安全标准的产品一样,对于网络安全标准的符合性,将来也会这样。通过标准定义可接受的最低安全级别,制造商根据该标准确认产品的符合性并以文件证明。例如: 对于欧洲,它可能是IEC或ETSI标准,对于美国,它可能是NIST标准。这些标准已经很相似,并有可能在未来进一步合并。
结论——重点关注标准符合性
强制日期的延迟解决了主要市场之一欧盟(EU)在统一标准方面的困惑,表明正在进行的标准将发生重大变化; 但并不会显著改变解决网络安全问题的必要性和紧迫性。预计明年许多制造商将选择使用其他已定义的标准来证明符合性,例如ETSI EN 303 645, NIST IR 8259A或IEC 62443。
能够向大买家和消费者展示并记录网络安全合规性,将使你的产品与那些没有充分解决网络安全符合性问题的产品区分开来,从而在竞争中极具优势!
Nemko 网络安全服务
Nemko 集团自2020年成功收购挪威国家安全局认可的一家信息安全测试实验室起,已持续在为全球范围内的物联网设备制造商提供网络信息安全服务。在国内,我们具有本地工程师并和本地认可的多家权威实验室合作,为物联网设备提供本地化的网络信息安全评估、咨询和认证服务。我们的服务包括:
-
提供网络产品开发阶段的信息安全设计咨询和预检。 -
提供评估, 证明产品符合RED 指令Article 3关于网络安全的要求 -
依据ETSI/EN 303 645或各国网络安全法规进行评估, 出具符合性证明或认证。
欢迎联系我们了解更多详情!