“ 许多公司正在评估他们是否会受到当前网络安全法规的影响。但仔细观察会发现,这不是“是否”受影响的问题,而更是“何时”以及“受影响程度”问题。
已经有许多重要的基础设施公司已经受到《网络和信息系统安全指令-2》(NIS-2 Directive)的约束,新的《网络弹性法案》很快将对所有工业企业生效。而硬件和软件制造商更应关注网络安全这一主题,认真对待网络安全问题。 ”
网络和信息系统安全指令2》(NIS-2 Directive)已经生效:
《网络和信息系统安全指令2》(NIS-2 Directive)是欧盟数字战略“塑造欧洲数字未来”的核心组成部分,是 2016 年引入的 NIS 指令的延续。该指令于 2023 年 1 月 16 日生效,旨在在欧洲建立强壮的网络安全系统,从而加强内部市场。欧盟成员国需在 2024 年 10 月 17 日之前将这些指导方针纳入其国内法律中。
该指令将受影响的行业分为两组:必要行业和重要行业,前者包括能源、交通、金融市场和医疗保健等行业。这些行业中受影响的公司的精确识别将由欧洲各国法律决定。
NIS-2 引入了新的规定,工业行业公司必须遵守这些规定,包括根据特定要求和时间表向相关机构报告网络安全事件。公司还需要实施主动的风险管理,并在网络安全和危机管理等领域应用最新的标准和技术。会员国可能要求企业提供相关证明,证实其符合这些要求。
在德国,NIS-2 指令将对现有信息技术安全法进行调整。已经建立了稳固网络安全实践的公司,如信息安全管理系统(ISMS),可能只需要微弱的调整。
2024 年即将出台的欧盟网络弹性法案(Cyber Resilience Act,CRA)
欧盟网络韧性法案适用于哪些公司?
欧盟网络弹性法案(Cyber Resilience Act,CRA)目前(截至 2024 年 1 月)仍是一项草案,将适用于所有可以相互连接或连接到互联网的消费品或工业品的软硬件产品。所有在欧盟生产或进口到欧盟的设备都将受到这些法规的约束。
网络弹性法案何时生效和此项指令必须多快实施?
网络韧性法案尚未生效(截至 2024 年 1 月):预计议会将在 2024 年 6 月前做出最终决定,实施过渡期长达两年。
欧盟网络弹性法案的影响(2024年1月)
网络弹性法案有哪些强制性要求?
网络弹性法案将产品和应用程序分为三个类别,并要求公司在其范围内遵循特定的指导方针。
标准类别:最低分类类别(也称为“默认类别”)包括典型的消费品,如智能音箱、吸尘机器人、家庭自动化、多媒体设备(如电视、游戏机等)。在这个类别中可以进行自我认证。
1类和2类:接下来的两个“关键”类别涵盖工业和公共领域中的所有应用领域。
1类包括工业自动化或建筑自动化。2类包括用于重点基础设施的系统。
1类和尤其是2类分类的系统必须由经过认可的机构进行认证。
对于以上所有的三个类别,制造商必须确保其设备没有任何已知的安全漏洞。制造商必须为其在一定时间段内提供软件更新,该时间的长短因产品而异。
关于这一保证期,最新规定是最长五年。需要注意的是,保证期的最终长度取决于多种因素。
此外,客户需求、市场发展以及可能的法院裁决将在很大程度上决定制造商必须提供软件更新的时间长度。
在产品的开发阶段以及设备的整个生命周期中,必须持续采取与产品安全相关的措施。
设备本身必须记录安全的相关事件。制造商必须向有关部门报告事件和已知的安全漏洞。
为了确保可追溯性,需要提供“软件材料清单”。这个清单需要清楚的描述设备上使用的软件组件,从而使得能够准确地将出现的安全风险与可能引起问题的软件组件进行版本匹配。
网络弹性法案对现有设备意味着什么?
目前尚不清楚新规定将如何以及是否会影响现有产品。
如果不遵守网络弹性法案的规定,可能会面临以下后果:
未遵守《网络弹性法案》的公司可能面临高达 1500 万欧元或其年营业额的 2.5% 的罚款。
但网络安全的重要性不仅仅在于遵守法律。遭受黑客攻击或勒索软件攻击可能导致产品受损,损害公司形象,进而对销售产生重大影响。
因此,不仅存在财务处罚的风险,还有可能会因为安全性对公司形象产生负面影响从而直接导致自身利益的损害。
为了保护自己免受网络攻击,公司现在应该采取以下措施:
德国公司或机构的 IT 基础设施遭受攻击是一个严重问题。只有当公司采取适当的自我保护措施并能够迅速应对漏洞时,才能避免网络攻击。
NIS-2 和《网络弹性法案》都规定了一些措施,这些措施对每家工业公司都是有意义的—无论 NIS-2 和 CRA 对该公司是否是强制性的。
这包括了:
- 审查 IT 和产品基础设施中的硬件和软件设施
- 根据产品类别评估软件 BOM 和组件
- 对产品进行分类并在必要时进行认证
- 在每个产品阶段进行安全评估
- 立即通报产品和公司的安全漏洞
- 确保 IT 和产品可更新性
- 为产品提供及时更新
- 默认安全性
- 记录产品中的安全关键事件
您需要采取哪些措施?
- 成熟的安全功能整合:
- 实施安全功能,如安全启动 (Secure Boot) 和提供定期更新
- 确保易于使用且安全
- 使用标准硬件和软件来保护密钥和证书
- 在搭建环境和产品中集成经过验证的硬件和软件。
- 安全的产品初始化:
- 在生产中建立特殊流程和安全区域
- 软件生命周期管理和 CVE 监控:
- 实施全面的软件生命周期管理
- 监控公共漏洞和曝光(CVE)
- 为标准产品的认证做好准备:
- 评估标准产品的认证可能性
- 为潜在的认证流程做好准备
如果您在多种类别销售产品,您的产品将会受到何种影响?
法律动态、目标群体、产品要求和威胁情况的变化需要都需要持续监测。因此,建议从一开始就由第三方进行产品审计。
制造商应关注如 SBOM、CVE 以及可更新性,以便能够迅速应对攻击。
无论产品类别如何,统一的流程和技术都需确保精益、高效和可追溯性。
在自我审计的情况下,产出的报告应能够灵活地用于以后的第三方审计。
在销售到欧盟以外地区时,考虑采纳国际标准也是明智之举。
PHYTEC 是如何支持客户的?
PHYTEC 提供全面的安全解决方案,以有效保护客户免于不断增加的威胁。安全包的选择基于丰富的经验,并符合功能、安全性和长期可维护性的高标准。
那么,PHYTEC 如何个性化地满足客户特定需求呢?
- 个性化配置:客户可以根据需求灵活的定制安全服务方案。
- 专业的技术支持:除了产品级的 BSP 包外,PHYTEC 还提供其他客制化的技术支持。
- 提供清晰的架构:安全服务提供坚实的基础,并根据客户的要求灵活配置。
- 提供清晰的表格:PHYTEC 清晰的表格提供了关于不同安全级别的安全方案,从功能到安全标准再到灵活配置。
- 长期安全投资:PHYTEC 强调为可持续的数字基础设施做出正确的安全选择的重要性。
PHYTEC 致力于为客户提供坚实的基础和定制服务,以满足每个客户的安全需求。
和 PHYTEC 一起工作并找到最适合您项目的方案
网络研讨会:
欧盟网络弹性法案的影响
(2024年1月)
作者介绍
Yves Astein
Yves Astein 是 PHYTEC Messtechnik GmbH 的产品经理,并且是我们的嵌入式技术专家,他在行业内主要关注嵌入式市场的新趋势,以及网络设备的安全性、维护和管理方法。