歐盟立法：數字產品必須遵守安全基線，違反者可罰全球收入2.5%

從家用電器到聯網玩具，再到計算機和軟件，所有出口歐洲的數字產品都必須提供安全保障、軟件物料清單、漏洞報告機制和為期五年的補丁更新;

我國在歐洲經營數字產品業務的企業，需及早規劃應對策略，建立健全網絡安全保障機制，以防違規。

安全內參9月16日消息，歐洲公布了最新的網絡安全基本要求提案《網絡彈性法案》，要求數字設備與軟件開發廠商證明產品能夠滿足要求，從而降低家用電器、可穿戴設備、軟件與計算機等一系列產品遭黑客攻擊的風險。

開售后需提供五年安全更新

昨天提出的這項立法草案還要求，在歐盟開展業務的制造商在產品生命周期內或投放市場后的五年內(以較短者為準)，需持續提供安全補丁與更新。違反規定的企業將面臨最高1500萬歐元(約1.05億元人民幣)或全球營收2.5%的罰款。

歐盟內部市場專員蒂埃里·布雷頓(Thierry Breton)表示，“保證消費者購買的產品不存在已知漏洞，這一點很重要。但目前市場還滿足不了這一要求?！彼J為，此次立法是一項突破，標志著歐洲成為首個對軟件提出強制性網絡安全評估要求的洲。

德國電氣與數字公司協會(ZVEI)的數字化經理尼爾斯·謝勒(Nils Scherrer)表示，此次立法將是一項“艱巨的任務”，安全評估和新的程序制度將給企業帶來巨大的成本壓力，“企業需要從根本上改變產品生命周期的內部流程”。該協會成員包括西門子、生產加熱設備的博世AG子公司Bosch Thermotechnik GmbH等知名企業。

根據提案，帶有數字組件的產品必須附帶標簽，說明其符合新規則并注明提供網絡支持的時限。此項提案未涵蓋受其他法律監管的醫療設備和汽車。

強制公開軟件物料清單

在正式獲批執行之前，立法者還需要就提案細節進行談判，這一過程預計需要幾個月時間。之后，企業將有兩年的過渡準備期。

該提案稱，企業需要公布軟件物料清單(SBOM)，詳細列出每款產品中使用的組件，以幫助制造商監控供應鏈并跟蹤安全漏洞。一位參與提案起草的歐盟官員表示，物料清單的靈感來自美國總統拜登2021年簽署的網絡安全行政令。該命令要求聯邦政府的各軟件提供商披露產品中包含的組件。

關鍵產品需增加安全評估

這份草案還包括一份清單，囊括必須由第三方獨立機構進行網絡安全評估的38種關鍵技術產品。上述歐盟官員稱，關鍵技術產品包括密碼管理器和防火墻等軟件，微控制器、工業物聯網設備及智能電表等硬件。它們被認定是至關重要的，一旦遭到黑客入侵，極有可能引發巨大影響。不過，這位官員也提到，大約90%的企業應該只需要做自我安全認證。

圖：38種關鍵技術產品清單

總部位于比利時布魯塞爾的家電制造商協會Applia總干事保羅·法爾喬尼(Paolo Falcioni)表示，部分制造商擔心第三方安全審查會推遲產品的發布時間，“這本質上是限制了產品的上市速度?！?/span>

提案還預留了部分空間，允許歐盟委員會劃定“非常關鍵”類產品清單，這部分產品將必須接受歐盟網絡安全專家的單獨認證。

謝勒還提到，該法案定義的關鍵產品清單已經太過寬泛，其中不少產品可能根本不會被用于關鍵場景。他解釋道，“同樣一種能夠接入網絡的組件，在不同的應用場景下自然要對應不同的安全要求。它既可能被裝在可口可樂售貨機上，也可能被部署在核電站當中。”

與此同時，消費者權益倡導者們卻認為這份清單還應該進一步擴展。位于布魯塞爾的歐洲消費者組織的法律官員克勞迪奧·特謝拉 (Claudio Teixeira)認為，一旦可穿戴設備、聯網玩具或家用恒溫器等常見產品的信號被黑客劫持，很可能會造成重大損害。

去年，比利時消費者組織Test-Achats測試了16種聯網設備，包括嬰兒監視器、智能吸塵器和智能電視。其中10種存在嚴重安全漏洞，包括默認密碼強度太低、缺少數據加密等，因此極易遭黑客入侵。特謝拉表示，“這讓我們意識到，這部分市場存在很大問題。”

參考資料：wsj.com

來源：安全內參