2023年2月7日,2023網絡安全標準大會以線上線下結合方式召開。本次大會為第七屆,主題是“歐洲標準化支持歐盟網絡安全立法”,1600多位來自歐盟和其他地區的代表出席會議或線上參會。《中國標準化》雜志社將會議主要內容加以翻譯,供讀者借鑒。
2023網絡安全標準大會由歐盟網絡安全局(ENISA)與歐洲標準化委員會(CEN)、歐洲電工標準化委員會(CENELEC)和歐洲電信標準協會(ETSI)三大歐洲標準組織(ESOs)共同舉辦。來自歐盟委員會、ESOs、ENISA的領導、專家以及工商界代表分享了對歐洲標準化如何支持歐盟網絡安全立法的見解。
CEN和CENELEC總干事埃琳娜·圣地亞哥·希德(Elena Santiago Cid)、CENELEC主席沃夫岡·尼吉埃拉(Wolfgang Niedziella)、ETSI秘書長路易斯·霍爾赫·羅梅羅(Luis Jorge Romero)、ENISA市場認證及標準化部門負責人安德里亞斯·米特拉卡斯(Andreas Mitrakas)、歐盟委員會網絡安全與數字隱私政策部門負責人克里斯蒂娜·科克特普·德·維隆(Christiane Kirketerp de Viron)等在大會上發表致辭。
大會分為四個專題討論會,分別就從地區和全球角度看待歐盟標準化的未來、標準如何支撐《網絡復原力法案》、內部市場電子交易的電子認證和信托服務(eIDASv2)及數字身份、歐盟網絡安全立法現狀開展探討。
關于ENISA
歐盟網絡安全局(ENISA)旨在讓全歐洲達到較高的網絡安全水平。ENISA參與歐盟網絡政策制定,通過網絡安全認證計劃提高信息通信技術產品、服務和流程的可靠性,并與歐盟成員國和機構開展合作,幫助歐洲更好地應對未來的網絡挑戰。ENISA由《網絡安全法案》授權監督標準化領域的各項進展,并基于CEN、CENELEC、ETSI和網絡安全協調小組(CSCG)等歐洲標準化組織現有的標準化機制開展工作。
關于CEN和CENELEC
歐洲標準化委員會(CEN)和歐洲電工標準化委員會(CENELEC)是歐盟和歐洲自由貿易聯盟(EFTA)認可的歐洲標準化組織,負責制定歐洲標準,為材料、工藝、產品和服務等領域制定規范和流程。CEN和CENELEC的成員是34個歐洲國家的國家標準化機構和國家電工委員會,歐洲標準(EN)和CEN和CENELEC通過的其他標準化成果得到全體成員的認可和采納。
關于ETSI
歐洲電信標準協會(ETSI)為成員提供開放包容的環境,支撐各行各業全球通用型信息通信技術系統和服務標準的制定。作為非營利組織,ETSI有950多個成員,來自五大洲的64個國家,涵蓋私營公司、研究機構、學術機構、政府和公共組織。ETSI是歐盟認可的歐洲標準組織之一。
<
專家講話亮點摘錄
>
我們面臨的網絡挑戰以及標準如何提供助力
歐盟委員會網絡安全與數字隱私政策部門負責人
克里斯蒂娜·科克特普·德·維隆
(Ms. Christiane Kirketerp de Viron)
我認為,人們面臨的第一個重大挑戰是網絡不僅日益復雜,而且對關鍵基礎設施和業務的網絡攻擊也在與日俱增。公司哪怕有了補丁,也往往不對網絡系統進行優化,跨國的信息流通也不夠通暢。
第二個挑戰是社會和經濟的數字化轉型。我們投入了數十億歐元建設數字化社會,但是也需要投資網絡安全。如果只注重數字化而忽視了網絡安全,那么我們的投資無異于抱薪救火。切實增加網絡安全方面的投資是巨大的挑戰。
第三個重大的挑戰是面對技術發展要占據先機。最近,大家都在討論ChatGPT及其對人們生活的影響。實際上,ChatGPT能協助人們進行網絡犯罪。技術的發展會給人類帶來新的現實問題,而歐盟必須提前做好準備。如果我們想保護自己,就應當堅持在這個領域的技術自主性。
這就需要標準的協助了。我們需要歐洲協調標準來確保《網絡復原力法案》(CRA)的成功實施,因此標準化工作愈發具有戰略意義。標準化工作開始越來越多地體現倫理,這是我們保護歐盟價值觀的方式。
我堅信,我們能在歐洲市場內攜手并肩,同時也能與志同道合的國際伙伴扎實推進全球標準化進程。
歐洲單一市場標準化的益處
CEN和CENELEC總干事
埃琳娜·圣地亞哥·希德(Ms. Elena Santiago Cid)
今年,是歐洲單一市場成立30周年,在過去30年間我們領略到了歐洲協調標準的益處以及標準化的魅力。現在,一項歐洲標準發布后,會被CEN和CENELEC全體成員國等同采用,各國能夠摒棄互相矛盾的國家標準,以實現整個歐洲的協調發展。
標準能支持立法,減少合規成本,增加競爭力,促進安全、健康和環境保護等,因而具有越來越大的價值。
我們正齊心協力應對來自歐洲乃至全球的挑戰。我們不應低估與國際標準組織協作的重要意義。我們也應當清楚制定標準是戰略性決策,這涉及很重要的問題:我們想要一個怎樣的歐洲?我們想從這個世界得到什么?我們樂于通過標準化分享歐洲價值觀。《CEN和CENELEC 2030戰略》的目標之一就是拓展歐洲標準化工作范圍,以歐洲標準和歐洲價值觀提高對國際標準化工作的影響力。
鑒于市場的碎片化,我想重點強調協調一致對歐洲的重要性,為了增強歐洲工業的競爭力,我們不僅需要立法一致,更需要自愿性一致。通過國家授權原則,CEN和CENELEC可以聯結各個利益相關方。
網絡安全會影響所有人,我們需要提高認識,給所有受其影響和有表達意愿的相關方參與標準制定流程的機會。因此,CEN和CENELEC的34個成員國有義務以各自的方式與國內利益相關方溝通,以免歐洲的多樣性和豐富性阻滯需要及時交付的統一標準的制定。
歐洲標準化對提高應對網絡威脅的復原力有關鍵作用
CENELEC主席
沃夫岡·尼吉埃拉(Mr. Wolfgang Niedziella)
網絡安全是歐盟的當務之急。2020年12月,歐盟委員會實施了一項新的歐盟網絡安全戰略,自此,委員會通過了一系列法案和提案,包括《無線電設備授權指令法案》《芯片法案》《數據法案》,以及《網絡復原力法案》(CRA)的提案,此類法案和提案大多數都需要標準的支持。
因此,網絡安全標準化成為當前CEN和CENELEC工作計劃的優先事項之一,同時這也與《CEN和CENELEC 2030戰略》一致。CEN和CENELEC的目標是通過利益相關方制定基于共識的標準,從而促進互信、滿足市場要求、開放市場準入和促進創新,建立一個更美好、更安全、更具可持續性的歐洲。
歐洲標準化對提高歐洲應對網絡威脅的整體復原力、確保民眾和企業獲得值得信賴的可靠產品、服務和工藝等方面有著戰略性意義。歐洲和國際標準化機構積極參與標準制定,從而確保用戶和組織的網絡安全。CEN和CENELEC可以通過聯絡ISO和IEC等組織,將通用標準推廣到全世界。
歐洲采用的國際標準都有歐洲的相應文件作為補充,從而滿足其特殊需求。CEN和CENELEC正在建立標準戰略框架,減少網絡風險,促進創新成果落地,提升質量,并支持遵守歐洲法律。因此,維護當前的歐洲標準化體系十分重要。在過去的30年里,該體系幫助建立了穩健的單一市場,通過《維也納協議》和《法蘭克福協議》為ISO和IEC工作做出了極大的貢獻。
所以,尋找更多的機會進一步發展歐洲標準化體系,并將協調標準推向全球也十分重要。比如,通過與其他國際組織合作,我們抓住機遇來支持歐洲政策措施,比如歐盟-美國貿易技術委員會,還有即將成立的歐盟-印度貿易技術委員會,并與具有共同利益的大國分享和保持一致的發展目標。
標準在《網絡復原力法案》中的重要作用
歐盟委員會網絡安全與數字隱私部門政策官
邁卡·弗倫巴赫(Maika Fohrenbach)
《網絡復原力法案》(CRA)于2022年9月15日頒布。我們正努力推廣實施CRA,同時也在全力準備法案的補充條款,而這時就標準就可以發揮重要作用了。
CRA是第一個明確了經濟運營者的一致網絡安全義務的歐盟法案,并提高了制造商對歐盟市場投放產品的網絡安全性的責任。其中一項主要責任就是向市場投放產品時,必須滿足一系列必要的網絡安全要求。這些要求聚焦于技術中立目標,并需要進一步明確為技術規范。制造商的另一項重要義務是通過采用合格評定程序明示產品的合規性,而標準在其中起到重要作用,因為標準明確了用于合格評定程序的評估方法。
那么,這些標準是如何制定的,又起到怎樣的作用?歐盟委員會已提出需求并著手準備協調標準的制定工作。協調標準為制造商和市場監管機構帶來了關鍵優勢,一旦制造商采用了協調標準,就可以更容易地驗證他們是否遵循了CRA法案的規定。
協調標準通常由歐盟委員會提出需求并交由歐洲標準化機構制定。我們已經開展了準備工作,并樂見CEN和CENELEC啟動了對可作為CRA基礎的現有標準的摸底調查。協調標準的重要價值在于合規性推定。制造商只要說自己采用了協調標準,就意味著滿足網絡安全要求,而無需提供其他證明。
這一點非常重要,制造商通常自愿地以協調標準為工具體現合規性。協調標準通常以國際標準、歐洲標準、國家標準,還有廣泛應用的技術規范等為基礎。我們將與所有相關方緊密合作,共同制定CRA標準化路線圖,尤其是與歐洲標準化機構合作。我們預計需要2年時間制定第一批標準,在此之后相關工作仍會繼續開展,因為我們有遠大的目標。
如何使標準支持《網絡復原力法案》
Umlaut公司網絡安全標準化專家,ETSI網絡技術委員會副主席 薩米·艾哈邁迪(Samim Ahmadi)
從數據中我們能看出,這些年標準和標準機構的數量呈指數型增長,帶來了大量網絡安全標準。因此,我們面臨著巨大挑戰:究竟哪些標準很重要,或能被重新利用來滿足CRA法案要求?
CRA法案涉及的是具有數字元素的產品的網絡安全性,這個范圍非常寬泛,大部分網絡安全標準跟CRA法案都有關聯之處。因此,我們要對不同機構的所有標準進行差距分析,以便確定:這些標準是否能滿足CRA的要求?對CRA的支撐程度如何?
我們也需要明確未來誰會尋求這些標準,因為這是非常耗時的工作。還有,這些標準是否彼此沖突?去年發布的標準可能比10年前發布的標準更合適、更順應當前的需求。
做差距分析要花很多時間。幸好我們與歐洲標準組織(ESOs)和各行業合作來解決這個問題。這些組織也在努力明確與CRA有關的標準,以及關聯點在何處?如何進行整合?如何在此基礎上建立統一的標準框架?讓我們拭目以待。