免费发布认证信息
认证首页 >> 供求信息 >> 认证供应 >> 信息安全产品认证 >> 网络安全认证 各国强制性要求

网络安全认证 各国强制性要求

上海联广认证有限公司深圳分公司
【认证内容介绍】

关于网络安全认证,客户最通常询问的第一个问题是:"这是强制要求认证的吗?

简单的回答是"是的"。 但和所有的认证一样,都有具体针对性。而且具体的要求还是快速变化的。 让我们来概览一下: 当前哪些国家有强制要求网络安全认证;接下来,又会有哪些国家会实行强制认证方案?

很多人习惯把没有强制认证方案解读成没有强制需要符合的要求,当然,事情并不是这样的。 以欧盟LVD 低电压指令为例,没有强制的认证要求,但是产品仍必须符合指令以及指令当中所列的对应标准。 

我们来看看不同的地区对网络安全的要求。

欧洲
GDPR - 通用数据保护法规 强制性
RED- 无线设备指令 强制性,但...
EU 网络安全法   强制性,但...
UK IoT 法令 很快将强制
芬兰网络安全标签 自愿性
 

GDPR – 通用数据保护法规

虽然不被认为是典型的"网络安全",但信息安全是网络安全的重要组成部分。对于个人信息的保护,网络安全是先决条件,而网络安全标准,如欧洲消费者物联网规范,规定了一套关于处理各类个人信息的要求。使用不符合这些要求的产品将危及您的GDPR遵从性。

RED - 无线设备指令

同样,这个指令并不是很多人认为的网络安全指令,但是RED指令第3章包含了保护网络和个人信息的条款。虽然这些条款尚未生效,但相关的工作已经正在进行中。

EU 网络安全法

该法案描述了产品、服务和过程控制的认证方案。产品认证方案草案已于2020年7月发布,最终版本预计将于2021年第二季度发布。该认证最初将是自愿的,但起要求并非自愿的。对于消费级物联网产品,预期标准是ETSI/EN 303 645,和IEC 62443-4-2,Nemko已经在使用该标准评估网络安全。

UK

英国正在实施一项强制性网络安全法规,该法规适用于所有进入英国市的物联网消费产品。产品必须通过立法规定的安全要求或指定的标准,确保满足指定的安全措施。最近发布的EN 303 645就是"指定标准清单"上的其中一个标准,预计该标准清单将随着时间的推移而增加,以帮助企业简化他们的工作。具有讽刺意味的是,考虑到英国脱欧,英国的监管比《欧盟网络安全法》更符合典型的指令。英国的法规有两种替代途径——要么执行立法中详细规定的安全要求,要么满足列出的标准要求。由于英国在ETSI/EN 303 645标准的发展中发挥了重要作用,因此特别提到了该标准。此外,执法机构将有权进行调查,并采取措施确保法规符合性。

 芬兰

以Traficom为代表的芬兰当局推出了一项物联网消费品标签计划。这样做既是为了展示产品安全性,也为了促进提高消费者的普遍意识。标签方案使用ETSI/EN 303 645的方案,并添加了一些内容。Nemko目前正在完成一个试点项目,让Traficom接受Nemko物联网网络认证方案作为芬兰网络安全标签的基础。

美国
物联网网络安全改进法案 很快将强制
加州法令 强制性
俄勒冈州法令 强制性
 

物联网网络安全改进法案

2020年12月,美国总统签署了物联网网络安全改进法案,对联邦机构使用的物联网设备提出了要求。由于联邦机构基本上可以使用任何物联网设备,这将成为美国事实上的要求。该法规目前只等待NIST(国家标准与技术研究所)最终确定标准和指导方针。这意味着我们可以期待美国将会实施类似现在产品安全要求的网络安全要求。

加州法案

作为全球第五大经济体,美国加州于2020年1月1日推出了联网消费品的要求。使用ETSI/EN 303 645标准的Nemko网络安全认证将涵盖该法的要求。

俄勒冈州

俄勒冈州也于2020年1月1日对物联网产品提出了类似要求。就像加州的法律一样,Nemko的网络安全认证方案也将涵盖这些要求。

亚洲
新加坡 强制性
中国 强制性
 

新加坡

新加坡信息媒体发展局(IMDA)于2021年4月12日对所有新的住宅网关/路由器提出强制性要求。从2021年10月12日起,市场上的所有此类产品必须符合IMDA TS RG_SEC 的要求。之所以选择这些产品,是因为它们在网络信息安全方面特别重要,这些设备是直接连接到互联网的第一道防线。这类产品已经成为几次全球恶意攻击的目标,例如臭名昭著的Mirai蠕虫事件。

新加坡的这一方案具体要求与欧洲标准ETSI/EN 303 645相似。

中国

依据《网络安全法》第二十三条的规定,对网络关键设备和网络安全专用产品需依据国家标准强制性要求开展安全认证。对应的实施规则是CNCA-CCIS-2018。 具体在范围内的产品可查阅实施规则附件1。

制造商该怎么做?
不同制造商对网络安全的关注和知识差异很大,但绝大多数都不符合当今的网络安全标准。这些标准目前虽然还不是所有国家都必须遵守的,但是在目前正在设计的产品的生命周期内,大多数市场都需要这些标准。

根据制造商的不同成熟度,可以从不同的切入点开始网络安全标准的结构化工作。那些新进入该领域的制造商可以选择先对标准进行学习和了解。

更成熟的制造商可以选择直接去评估他们的产品是否符合标准。在进行这样的评估时,邀请像Nemko这样的标准专家参与将是有益的。这样既有知识渊博、经验丰富的专家根据标准进行评估,也要能够向客户表明评估是由独立的第三方机构完成的,确保了公正性。





更新时间:2021/9/9 10:56:22



广告积分兑换-查看详情
咨询热线:
0769-23154005
0769-21664823
0769-21664823
在线客服