歐盟公佈其關注智能設備安全的《網絡彈性法》立法計劃
歐盟立法者提出了一套適用於智能設備的新產品規則,旨在迫使與互聯網連接的硬件(如”智能”洗衣機或聯網玩具)的製造商對設備安全給予充分關注。歐盟委員會今天表示,擬議的《歐盟網絡復原力法案》將對在整個集團內銷售的具有”數字元素”的產品提出強制性網絡安全要求,這些要求適用於產品的整個生命週期–這意味著設備製造商將需要提供持續的安全支持和更新,以修補新出現的漏洞。
該法規草案還重點關注智能設備製造商向消費者傳達”充分和準確的信息”–以確保購買者能夠在購買時掌握安全注意事項,並在購買後安全地設置設備。
歐盟委員會提議對不遵守”基本”網絡安全要求的行為進行處罰,處罰金額最高為1500萬歐元或全球年營業額的2.5%,其他違反法規義務的行為的最高處罰金額為1000萬歐元或營業額的2%。
歐盟行政部門表示,擬議的法規將適用於所有”直接或間接連接到另一個設備或網絡”的產品,但在歐盟現有規則中已經規定了網絡安全要求的產品有一些例外,如醫療設備、航空和汽車。
智能設備安全的泛歐盟規則
歐盟委員會在對擬議措施的總結中說,這些措施是基於2008年更新的歐盟產品立法框架,它們將規定:
(a) 具有數字元素的產品投放市場的規則,以確保其網絡安全。
(b) 設計、開發和生產具有數字元素的產品的基本要求,以及經營者與這些產品有關的義務。
(c) 製造商為確保有數字元素的產品在整個生命週期內的網絡安全而實施的漏洞處理程序的基本要求,以及經濟運營商與這些程序有關的義務,製造商還必須報告被積極利用的漏洞和事件。
(d) 市場監督和執法規則。
“新規則將重新平衡製造商的責任,他們必須確保在歐盟市場上提供的帶有數字元素的產品符合安全要求,”歐委會的一份新聞稿中寫道。”因此,它們將有利於消費者和公民,以及使用數字產品的企業,提高安全性能的透明度,促進對數字元素產品的信任,並確保更好地保護他們的基本權利,如隱私和數據保護。”
委員會關於該倡議的問答進一步規定,製造商將經歷”合格評估過程,以證明與產品有關的特定要求是否已經得到滿足”。它指出,這可以通過自我評估或第三方符合性評估來完成,”取決於有關產品的重要性”。
在證明符合適用要求的情況下,設備製造商將能夠貼上歐盟的CE標誌,表明這些數字產品符合產品安全法規。
違規行為將由成員國指定的市場監督機構處理,該機構將負責執法,擬議的新立法將規定其不僅有權命令停止違規行為,還有權通過禁止產品銷售或以其他方式限制其市場供應來”消除風險”。主管部門還可以命令撤銷銷售合同或召回侵權產品。而向監管機構和監督機構提供不正確、不完整或誤導性的信息將面臨最高500萬歐元的罰款或營業額的1%。
委員會負責數字戰略的執行副總裁瑪格麗特·維斯塔格在一份聲明中評論說:”我們應該對我們在單一市場購買的產品感到安全。就像我們可以信任帶有CE標誌的玩具或冰箱一樣,《網絡彈性法》將確保我們購買的聯網物品和軟件符合強有力的網絡安全保障措施。它將把責任放在該有的地方,放在那些將產品投放市場的人身上。”
多年來,智能設備一直是網絡安全問題的溫床,儘管早些時候已經有立法行動來堵塞明顯的安全漏洞,比如2018年加利福尼亞州的一項法律禁止製造商在設備中設置容易猜測的默認密碼。
英國多年來也一直在為聯網設備製定”設計安全”法- 早在2019年就公佈了草案(儘管這一捆綁了電信基礎設施安全條款的產品安全法案仍在英國議會中進行審議)。
儘管在智能設備安全方面不是第一個,但歐盟希望其新生的方法將成為一個國際參考點,委員會的新聞稿表明。”基於《網絡復原力法案》的歐盟標準將促進其實施,並將成為歐盟網絡安全行業在全球市場上的資產。”
然而,在成為歐盟法律之前,該提案仍有相當長的路要走,因為歐洲議會和理事會將需要審查該草案並可能尋求修改它。
委員會還提議,一旦法規通過,設備製造商和歐盟成員國將有兩年的時間來適應新規則的全面實施。因此,該法規在2025年之前都可能不會有什麼影響。
也就是說,製造商對”積極利用的漏洞和事件”的報告義務有一個更短的時間框架–這將在法規生效之日起一年內適用,因為委員會希望這部分更容易實施。