導 讀
2023年2月7日,2023網絡安全标準大會以線上線下結合方式召開。本次大會為第七屆,主題是“歐洲标準化支援歐盟網絡安全立法”,1600多位來自歐盟和其他地區的代表出席會議或線上參會。《中國标準化》雜志社将會議主要内容加以翻譯,供讀者借鑒。
2023網絡安全标準大會由歐盟網絡安全局(ENISA)與歐洲标準化委員會(CEN)、歐洲電工标準化委員會(CENELEC)和歐洲電信标準協會(ETSI)三大歐洲标準組織(ESOs)共同舉辦。來自歐盟委員會、ESOs、ENISA的上司、專家以及工商界代表分享了對歐洲标準化如何支援歐盟網絡安全立法的見解。
CEN和CENELEC總幹事埃琳娜·聖地亞哥·希德(Elena Santiago Cid)、CENELEC主席沃夫岡·尼吉埃拉(Wolfgang Niedziella)、ETSI秘書長路易斯·霍爾赫·羅梅羅(Luis Jorge Romero)、ENISA市場認證及标準化部門負責人安德裡亞斯·米特拉卡斯(Andreas Mitrakas)、歐盟委員會網絡安全與數字隐私政策部門負責人克裡斯蒂娜·科克特普·德·維隆(Christiane Kirketerp de Viron)等在大會上發表緻辭。
大會分為四個專題讨論會,分别就從地區和全球角度看待歐盟标準化的未來、标準如何支撐《網絡複原力法案》、内部市場電子交易的電子認證和信托服務(eIDASv2)及數字身份、歐盟網絡安全立法現狀開展探讨。
關于ENISA
歐盟網絡安全局(ENISA)旨在讓全歐洲達到較高的網絡安全水準。ENISA參與歐盟網絡政策制定,通過網絡安全認證計劃提高資訊通信技術産品、服務和流程的可靠性,并與歐盟成員國和機構開展合作,幫助歐洲更好地應對未來的網絡挑戰。ENISA由《網絡安全法案》授權監督标準化領域的各項進展,并基于CEN、CENELEC、ETSI和網絡安全協調小組(CSCG)等歐洲标準化組織現有的标準化機制開展工作。
關于CEN和CENELEC
歐洲标準化委員會(CEN)和歐洲電工标準化委員會(CENELEC)是歐盟和歐洲自由貿易聯盟(EFTA)認可的歐洲标準化組織,負責制定歐洲标準,為材料、工藝、産品和服務等領域制定規範和流程。CEN和CENELEC的成員是34個歐洲國家的國家标準化機構和國家電工委員會,歐洲标準(EN)和CEN和CENELEC通過的其他标準化成果得到全體成員的認可和采納。
關于ETSI
歐洲電信标準協會(ETSI)為成員提供開放包容的環境,支撐各行各業全球通用型資訊通信技術系統和服務标準的制定。作為非營利組織,ETSI有950多個成員,來自五大洲的64個國家,涵蓋私營公司、研究機構、學術機構、政府和公共組織。ETSI是歐盟認可的歐洲标準組織之一。
專家講話亮點摘錄
我們面臨的網絡挑戰以及标準如何提供助力
歐盟委員會網絡安全與數字隐私政策部門負責人 克裡斯蒂娜·科克特普·德·維隆(Ms. Christiane Kirketerp de Viron)
我認為,人們面臨的第一個重大挑戰是網絡不僅日益複雜,而且對關鍵基礎設施和業務的網絡攻擊也在與日俱增。公司哪怕有了更新檔,也往往不對網絡系統進行優化,跨國的資訊流通也不夠通暢。
第二個挑戰是社會和經濟的數字化轉型。我們投入了數十億歐元建設數字化社會,但是也需要投資網絡安全。如果隻注重數字化而忽視了網絡安全,那麼我們的投資無異于抱薪救火。切實增加網絡安全方面的投資是巨大的挑戰。
第三個重大的挑戰是面對技術發展要占據先機。最近,大家都在讨論ChatGPT及其對人們生活的影響。實際上,ChatGPT能協助人們進行網絡犯罪。技術的發展會給人類帶來新的現實問題,而歐盟必須提前做好準備。如果我們想保護自己,就應當堅持在這個領域的技術自主性。
這就需要标準的協助了。我們需要歐洲協調标準來確定《網絡複原力法案》(CRA)的成功實施,是以标準化工作愈發具有戰略意義。标準化工作開始越來越多地展現倫理,這是我們保護歐盟價值觀的方式。
我堅信,我們能在歐洲市場内攜手并肩,同時也能與志同道合的國際夥伴紮實推進全球标準化程序。
歐洲單一市場标準化的益處
CEN和CENELEC總幹事 埃琳娜·聖地亞哥·希德(Ms. Elena Santiago Cid)
今年,是歐洲單一市場成立30周年,在過去30年間我們領略到了歐洲協調标準的益處以及标準化的魅力。現在,一項歐洲标準釋出後,會被CEN和CENELEC全體成員國等同采用,各國能夠摒棄互相沖突的國家标準,以實作整個歐洲的協調發展。
标準能支援立法,減少合規成本,增加競争力,促進安全、健康和環境保護等,因而具有越來越大的價值。
我們正齊心協力應對來自歐洲乃至全球的挑戰。我們不應低估與國際标準組織協作的重要意義。我們也應當清楚制定标準是戰略性決策,這涉及很重要的問題:我們想要一個怎樣的歐洲?我們想從這個世界得到什麼?我們樂于通過标準化分享歐洲價值觀。《CEN和CENELEC 2030戰略》的目标之一就是拓展歐洲标準化工作範圍,以歐洲标準和歐洲價值觀提高對國際标準化工作的影響力。
鑒于市場的碎片化,我想重點強調協調一緻對歐洲的重要性,為了增強歐洲工業的競争力,我們不僅需要立法一緻,更需要自願性一緻。通過國家授權原則,CEN和CENELEC可以聯結各個利益相關方。
網絡安全會影響所有人,我們需要提高認識,給所有受其影響和有表達意願的相關方參與标準制定流程的機會。是以,CEN和CENELEC的34個成員國有義務以各自的方式與國内利益相關方溝通,以免歐洲的多樣性和豐富性阻滞需要及時傳遞的統一标準的制定。
歐洲标準化對提高應對網絡威脅的複原力有關鍵作用
CENELEC主席 沃夫岡·尼吉埃拉(Mr. Wolfgang Niedziella)
網絡安全是歐盟的當務之急。2020年12月,歐盟委員會實施了一項新的歐盟網絡安全戰略,自此,委員會通過了一系列法案和提案,包括《無線電裝置授權指令法案》《晶片法案》《資料法案》,以及《網絡複原力法案》(CRA)的提案,此類法案和提案大多數都需要标準的支援。
是以,網絡安全标準化成為目前CEN和CENELEC工作計劃的優先事項之一,同時這也與《CEN和CENELEC 2030戰略》一緻。CEN和CENELEC的目标是通過利益相關方制定基于共識的标準,進而促進互信、滿足市場要求、開放市場準入和促進創新,建立一個更美好、更安全、更具可持續性的歐洲。
歐洲标準化對提高歐洲應對網絡威脅的整體複原力、確定群眾和企業獲得值得信賴的可靠産品、服務和工藝等方面有着戰略性意義。歐洲和國際标準化機構積極參與标準制定,進而確定使用者群組織的網絡安全。CEN和CENELEC可以通過聯絡ISO和IEC等組織,将通用标準推廣到全世界。
歐洲采用的國際标準都有歐洲的相應檔案作為補充,進而滿足其特殊需求。CEN和CENELEC正在建立标準戰略架構,減少網絡風險,促進創新成果落地,提升品質,并支援遵守歐洲法律。是以,維護目前的歐洲标準化體系十分重要。在過去的30年裡,該體系幫助建立了穩健的單一市場,通過《維也納協定》和《法蘭克福協定》為ISO和IEC工作做出了極大的貢獻。
是以,尋找更多的機會進一步發展歐洲标準化體系,并将協調标準推向全球也十分重要。比如,通過與其他國際組織合作,我們抓住機遇來支援歐洲政策措施,比如歐盟-美國貿易技術委員會,還有即将成立的歐盟-印度貿易技術委員會,并與具有共同利益的大國分享和保持一緻的發展目标。
标準在《網絡複原力法案》中的重要作用
歐盟委員會網絡安全與數字隐私部門政策官 邁卡·弗倫巴赫(Maika Fohrenbach)
《網絡複原力法案》(CRA)于2022年9月15日頒布。我們正努力推廣實施CRA,同時也在全力準備法案的補充條款,而這時就标準就可以發揮重要作用了。
CRA是第一個明确了經濟營運者的一緻網絡安全義務的歐盟法案,并提高了制造商對歐盟市場投放産品的網絡安全性的責任。其中一項主要責任就是向市場投放産品時,必須滿足一系列必要的網絡安全要求。這些要求聚焦于技術中立目标,并需要進一步明确為技術規範。制造商的另一項重要義務是通過采用合格評定程式明示産品的合規性,而标準在其中起到重要作用,因為标準明确了用于合格評定程式的評估方法。
那麼,這些标準是如何制定的,又起到怎樣的作用?歐盟委員會已提出需求并着手準備協調标準的制定工作。協調标準為制造商和市場監管機構帶來了關鍵優勢,一旦制造商采用了協調标準,就可以更容易地驗證他們是否遵循了CRA法案的規定。
協調标準通常由歐盟委員會提出需求并交由歐洲标準化機構制定。我們已經開展了準備工作,并樂見CEN和CENELEC啟動了對可作為CRA基礎的現有标準的摸底調查。協調标準的重要價值在于合規性推定。制造商隻要說自己采用了協調标準,就意味着滿足網絡安全要求,而無需提供其他證明。
這一點非常重要,制造商通常自願地以協調标準為工具展現合規性。協調标準通常以國際标準、歐洲标準、國家标準,還有廣泛應用的技術規範等為基礎。我們将與所有相關方緊密合作,共同制定CRA标準化路線圖,尤其是與歐洲标準化機構合作。我們預計需要2年時間制定第一批标準,在此之後相關工作仍會繼續開展,因為我們有遠大的目标。
如何使标準支援《網絡複原力法案》
Umlaut公司網絡安全标準化專家,ETSI網絡技術委員會副主席 薩米·艾哈邁迪(Samim Ahmadi)
從資料中我們能看出,這些年标準和标準機構的數量呈指數型增長,帶來了大量網絡安全标準。是以,我們面臨着巨大挑戰:究竟哪些标準很重要,或能被重新利用來滿足CRA法案要求?
CRA法案涉及的是具有數字元素的産品的網絡安全性,這個範圍非常寬泛,大部分網絡安全标準跟CRA法案都有關聯之處。是以,我們要對不同機構的所有标準進行差距分析,以便确定:這些标準是否能滿足CRA的要求?對CRA的支撐程度如何?
我們也需要明确未來誰會尋求這些标準,因為這是非常耗時的工作。還有,這些标準是否彼此沖突?去年釋出的标準可能比10年前釋出的标準更合适、更順應目前的需求。
做差距分析要花很多時間。幸好我們與歐洲标準組織(ESOs)和各行業合作來解決這個問題。這些組織也在努力明确與CRA有關的标準,以及關聯點在何處?如何進行整合?如何在此基礎上建立統一的标準架構?讓我們拭目以待。
(點選上方↑↑↑圖檔下載下傳訂閱回執)
(點選上方↑↑↑圖檔開始投稿)
-THANKS FOR READING-
來源 |《中國标準化》雜志社