欧盟委员会提议对具有数字元素的产品提出强制性网络安全要求
2022-10-12 00:002022年9月15日,欧盟委员会提出了一项《网络弹性法案》提案,该法案将提出新的网络安全要求,以确保硬件和软件产品对消费者和企业更加安全。
根据欧盟委员会发布的公告,《网络弹性法》将增加制造商的责任,责成他们提供安全支持和软件更新,以解决已发现的漏洞。这反过来应该使消费者能够充分了解他们所购买的产品的网络安全情况。
根据委员会9月中旬的公告,目前漏洞的成本主要由专业用户和消费者承担,限制了制造商投资于安全设计和开发的动力。此外,委员会认为,企业和消费者在选择安全产品和设置安全产品时往往没有足够和准确的信息。拟议的《网络弹性法案》旨在解决这些问题。
未来的法案将适用于直接或间接连接到其他设备或网络的硬件和软件产品,包括:婴儿监视器;智能手表;密码管理器;路由器;服务器、台式机和移动设备的操作系统;通用微处理器;以及智能电表。在欧盟现有规则中已经受到网络安全要求的产品,如汽车和医疗设备,不受新规则的约束。
这些规则根据供应链上的角色和责任,对包括制造商、进口商和分销商在内的经济运营商施加义务。更具体地说,拟议的《网络弹性法案》规定了:
1.将具有数字元素的产品投放市场的规则,以确保其网络安全。
2.设计、开发和生产具有数字元素的产品的基本要求,以及经济运营商在这些产品方面的义务。
3.制造商为确保带有数字元素的产品在其整个生命周期内的网络安全而实施的漏洞处理程序的基本要求;以及
4.关于市场监督和执行的规则。
根据上述规定,制造商如果将产品投放到欧盟市场,就需要确保其产品在整个产品生命周期内符合安全要求。符合性将通过使用符合性评估程序来证明,可以通过自我评估或第三方符合性评估。一旦确定符合要求,就必须起草一份欧盟符合性声明,并且必须贴上CE标志。制造商和开发商也将被要求提供有关产品寿命结束的信息,以及安全更新和合理期限的支持。
这些拟议的要求旨在提高安全属性的透明度,以及促进对具有数字元素的产品的信任。增加对此类产品的信任也可能为带有数字元素的产品的制造商带来机会,因为消费者的信心可以增加销售。
欧盟委员会在其公告中指出,《网络弹性法案》有可能成为一个国际参考点,因为其他国家正在研究解决网络安全、基本权利保护、数据保护和消费者信心问题。
由各个欧盟成员国任命的国家市场监督机构将负责执行这些规则。他们可以要求经济运营商结束违规行为并消除风险,禁止或限制产品在市场上销售,或命令撤回或召回产品。他们还可以处以最高为公司上一财政年度全球总营业额2.5%的罚款。对个人的罚款可高达1500万欧元。
欧盟委员会于2022年9月19日开始对《网络弹性法案》提案的反馈意见收集,利益相关方可以在2022年11月22日之前通过委员会的网站提交反馈意见。
欧洲议会和成员国部长理事会现在将各自审查该提案,并很可能在进入谈判之前通过修正案,以便就最终文本达成一致。据欧盟委员会设想的时间表,经济运营商和欧盟成员国将受益于一个宽限期,即从《网络弹性法案》生效之日起,他们将有两年时间来适应新规则。只有制造商报告积极利用的漏洞和事件的义务将在立法生效后一年内适用。