欧盟有哪些网络安全机构（欧盟推进全球首部物联网立法）

根据 EURACTIV、英国《金融时报》看到的一份机密文件，欧盟将于本周提交《网络弹性法案》（Cyber ResilienCE Act）提案，要求所有连接设备的基线网络安全标准和更严格的关键产品符合性评估程序。企业将必须证明它们满足网络安全的基本要求，从而将攻击风险降至最低。不遵守规定的企业将被处以最高1500万欧元的罚款，或相当于上一年全球营业额的2.5%，以更高的金额为准。

这份被标记为“敏感”的机密文件表示:“硬件和软件产品越来越容易受到成功的网络攻击，截至2021年，全球网络犯罪每年造成的损失达到5.5万亿欧元。”

该提案试图解决蓬勃发展的物联网 (IoT) 领域中普遍存在的漏洞，即使是对单个设备的黑客攻击，即所谓的“最薄弱环节”，也可能导致对整个组织或供应链的重大溢出效应。

立法者在提案草案中表示，“智能”产品存在“网络安全水平低下”和“用户对信息的理解和获取不足，导致他们无法选择具有适当网络安全功能的产品”。

为了解决这些问题，欧盟委员会提出了世界上第一个为所有连接设备引入立法框架的立法，以确保这些产品在其整个生命周期内的网络安全。

知情人士表示，如果这些措施得到实施，将是首个影响所有拥有数字组件、以应对网络攻击威胁的行业的欧盟法规。欧盟委员会估计，《网络弹性法案》或可使欧洲经济每年可以节省 180 至 2900 亿欧元。

01

范围

该法规涵盖“具有数字元素的产品”，定义为“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。

行业立法涵盖的产品，例如医疗器械，已被排除在外。

02

要求

在设备投放市场之前，物联网产品的制造商必须遵守设计、开发和生产的基本要求。他们将在其整个生命周期内通过免费的自动更新继续监控和解决漏洞。

“将从制造商到分销商和进口商的经济运营商在将具有数字元素的产品投放市场方面规定其义务，以充分履行其在供应链中的作用和责任，”草案中写道。

基本要求列表包括“适当”级别的网络安全、禁止发布具有任何已知漏洞的产品、默认配置的安全性、防止未经授权的访问、限制攻击面和最小化事件影响。

产品必须确保数据的机密性，包括使用加密、保护其完整性以及仅处理其运行所必需的数据。

制造商必须通过定期测试来识别产品中的漏洞并及时解决。与最近修订的网络和信息安全指令(NIS2)类似，拟议法案将要求制造商报告被利用的漏洞和事件。

03

风险类别

除了这些基本要求之外，委员会还列出了几种被认为具有更大风险的关键产品。关键产品分为两个“类别”，主要区别在于合规流程。

第I类包括身份管理系统、浏览器、密码管理器、防病毒、防火墙、虚拟私有网络(vpn)、网络管理、系统、物理网络接口、路由器和用于NIS2规定的基本实体的芯片。

此外，该类别涵盖了II类未涵盖的所有操作系统、微处理器和工业物联网。

风险较高的II类别包括桌面和移动设备、虚拟操作系统、数字证书颁发机构、通用微处理器、读卡器、机器人传感器、智能电表和所有用于工业用途的物联网、路由器和防火墙，这些被认为是“敏感环境”。

该文本授权委员会通过二级立法，更新第I类和第II类关键产品清单，并授权对非常关键的产品进行认证。

04

合格评定

制造商还必须通过内部程序或由通知机构进行的欧盟类型的检查对其产品进行合格评估。

如果生产商使用了协调标准，收到了欧盟的符合性声明或欧洲网络安全认证计划的证书，则该产品被推定符合该法规。

进口商及分销商须检查制造商是否遵守有关程序及装置的CE标记。

I类和II类关键产品的制造商必须遵循特定的合规程序。对于II类设备，必须进行第三方评估。

05

治理

国家主管当局必须遵循一系列要求来建立提供第三方评估的公告机构。

成员国还必须建立市场监督机构，这些机构可能是根据 NIS2 指令建立的网络安全机构。

国家当局可能会执行所谓的“扫描”，同时协调特定设备的控制行动，以检查它们的合规性。新规则还将赋予欧盟执行机构欧盟委员会召回和禁止不合规产品的权力。

06

处罚

不遵守基本要求的罚款可能高达 1500 万欧元或年营业额的 2.5%，以较高者为准。

07

生效时间（预估）

该提案预计将于 2024 年成为法律（拟议法规将在其生效后 24 个月开始适用），但制造商的报告义务将从生效后 12 个月开始适用。

08

对企业的影响

根据Microsoft IoT Signals 报告平均而言，90.8% 的欧洲公司采用了物联网（相比之下，美国和亚洲分别为 94% 和 89.7%）。也就是说，绝大部分欧洲公司将受到上述法案的影响。其中，受到《网络弹性法案》影响最大的很可能是法国和西班牙能源、电力行业，以及德国和意大利的制造业。

另外根据欧盟监管机构的一项研究表明，物联网硬件制造商的市场规模约为 23,000 家公司，年总营业额为 2850 亿欧元；软件制造商约为 370,000 家，年总营业额为 2650 亿欧元。然而只有一半的相关公司对网络攻击采取了充分的保护措施。

研究还发现，三分之二的网络攻击来自之前检测到但制造商未能修复的漏洞。

对欧盟投资或向欧盟出口产品的中国企业，也应当关注相关监管变化。

根据荣鼎集团与 MERICS的联合研究，2021年中国对欧在一些关键领域的投资仍引人关注：高瓴资本以 37 亿欧元收购飞利浦家电业务，中国企业在ICT 领域的投资额为 9.41 亿欧元；在西班牙，中国三峡电力公司以超过 5 亿欧元的价格购买了可再生能源资产（并已宣布计划在 2022 年以 3.05 亿欧元购买西班牙风电场组合）；宁德时代推迟了在北美建厂的计划，而宣布将在匈牙利建厂投资73.5亿欧元；CATL 在德国的第一个产品将于 2022 年开始生产。

资料来源

https://www.euractiv.com/section/cybersecurity/news/leak-commission-to-introduce-cyber-requirements-for-internet-of-things-products/

https://www.ft.com/content/cfa2e2be-8871-4b56-b7bf-c5d2c55e8ed5

https://www.iothome.com/archives/3554

https://merics.org/en/report/chinese-fdi-europe-2021-update

作者：EURACTIV记者等

译者：张颖 《互联网法律评论》主编

【免责声明】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。

,