2023年2月7日,2023网络安全标准大会以线上线下结合方式召开。本次大会为第七届,主题是“欧洲标准化支持欧盟网络安全立法”,1600多位来自欧盟和其他地区的代表出席会议或线上参会。《中国标准化》杂志社将会议主要内容加以翻译,供读者借鉴。
2023网络安全标准大会由欧盟网络安全局(ENISA)与欧洲标准化委员会(CEN)、欧洲电工标准化委员会(CENELEC)和欧洲电信标准协会(ETSI)三大欧洲标准组织(ESOs)共同举办。来自欧盟委员会、ESOs、ENISA的领导、专家以及工商界代表分享了对欧洲标准化如何支持欧盟网络安全立法的见解。
CEN和CENELEC总干事埃琳娜·圣地亚哥·希德(Elena Santiago Cid)、CENELEC主席沃夫冈·尼吉埃拉(Wolfgang Niedziella)、ETSI秘书长路易斯·霍尔赫·罗梅罗(Luis Jorge Romero)、ENISA市场认证及标准化部门负责人安德里亚斯·米特拉卡斯(Andreas Mitrakas)、欧盟委员会网络安全与数字隐私政策部门负责人克里斯蒂娜·科克特普·德·维隆(Christiane Kirketerp de Viron)等在大会上发表致辞。
大会分为四个专题讨论会,分别就从地区和全球角度看待欧盟标准化的未来、标准如何支撑《网络复原力法案》、内部市场电子交易的电子认证和信托服务(eIDASv2)及数字身份、欧盟网络安全立法现状开展探讨。
关于ENISA
欧盟网络安全局(ENISA)旨在让全欧洲达到较高的网络安全水平。ENISA参与欧盟网络政策制定,通过网络安全认证计划提高信息通信技术产品、服务和流程的可靠性,并与欧盟成员国和机构开展合作,帮助欧洲更好地应对未来的网络挑战。ENISA由《网络安全法案》授权监督标准化领域的各项进展,并基于CEN、CENELEC、ETSI和网络安全协调小组(CSCG)等欧洲标准化组织现有的标准化机制开展工作。
关于CEN和CENELEC
欧洲标准化委员会(CEN)和欧洲电工标准化委员会(CENELEC)是欧盟和欧洲自由贸易联盟(EFTA)认可的欧洲标准化组织,负责制定欧洲标准,为材料、工艺、产品和服务等领域制定规范和流程。CEN和CENELEC的成员是34个欧洲国家的国家标准化机构和国家电工委员会,欧洲标准(EN)和CEN和CENELEC通过的其他标准化成果得到全体成员的认可和采纳。
关于ETSI
欧洲电信标准协会(ETSI)为成员提供开放包容的环境,支撑各行各业全球通用型信息通信技术系统和服务标准的制定。作为非营利组织,ETSI有950多个成员,来自五大洲的64个国家,涵盖私营公司、研究机构、学术机构、政府和公共组织。ETSI是欧盟认可的欧洲标准组织之一。
<
专家讲话亮点摘录
>
我们面临的网络挑战以及标准如何提供助力
欧盟委员会网络安全与数字隐私政策部门负责人
克里斯蒂娜·科克特普·德·维隆
(Ms. Christiane Kirketerp de Viron)
我认为,人们面临的第一个重大挑战是网络不仅日益复杂,而且对关键基础设施和业务的网络攻击也在与日俱增。公司哪怕有了补丁,也往往不对网络系统进行优化,跨国的信息流通也不够通畅。
第二个挑战是社会和经济的数字化转型。我们投入了数十亿欧元建设数字化社会,但是也需要投资网络安全。如果只注重数字化而忽视了网络安全,那么我们的投资无异于抱薪救火。切实增加网络安全方面的投资是巨大的挑战。
第三个重大的挑战是面对技术发展要占据先机。最近,大家都在讨论ChatGPT及其对人们生活的影响。实际上,ChatGPT能协助人们进行网络犯罪。技术的发展会给人类带来新的现实问题,而欧盟必须提前做好准备。如果我们想保护自己,就应当坚持在这个领域的技术自主性。
这就需要标准的协助了。我们需要欧洲协调标准来确保《网络复原力法案》(CRA)的成功实施,因此标准化工作愈发具有战略意义。标准化工作开始越来越多地体现伦理,这是我们保护欧盟价值观的方式。
我坚信,我们能在欧洲市场内携手并肩,同时也能与志同道合的国际伙伴扎实推进全球标准化进程。
欧洲单一市场标准化的益处
CEN和CENELEC总干事
埃琳娜·圣地亚哥·希德(Ms. Elena Santiago Cid)
今年,是欧洲单一市场成立30周年,在过去30年间我们领略到了欧洲协调标准的益处以及标准化的魅力。现在,一项欧洲标准发布后,会被CEN和CENELEC全体成员国等同采用,各国能够摒弃互相矛盾的国家标准,以实现整个欧洲的协调发展。
标准能支持立法,减少合规成本,增加竞争力,促进安全、健康和环境保护等,因而具有越来越大的价值。
我们正齐心协力应对来自欧洲乃至全球的挑战。我们不应低估与国际标准组织协作的重要意义。我们也应当清楚制定标准是战略性决策,这涉及很重要的问题:我们想要一个怎样的欧洲?我们想从这个世界得到什么?我们乐于通过标准化分享欧洲价值观。《CEN和CENELEC 2030战略》的目标之一就是拓展欧洲标准化工作范围,以欧洲标准和欧洲价值观提高对国际标准化工作的影响力。
鉴于市场的碎片化,我想重点强调协调一致对欧洲的重要性,为了增强欧洲工业的竞争力,我们不仅需要立法一致,更需要自愿性一致。通过国家授权原则,CEN和CENELEC可以联结各个利益相关方。
网络安全会影响所有人,我们需要提高认识,给所有受其影响和有表达意愿的相关方参与标准制定流程的机会。因此,CEN和CENELEC的34个成员国有义务以各自的方式与国内利益相关方沟通,以免欧洲的多样性和丰富性阻滞需要及时交付的统一标准的制定。
欧洲标准化对提高应对网络威胁的复原力有关键作用
CENELEC主席
沃夫冈·尼吉埃拉(Mr. Wolfgang Niedziella)
网络安全是欧盟的当务之急。2020年12月,欧盟委员会实施了一项新的欧盟网络安全战略,自此,委员会通过了一系列法案和提案,包括《无线电设备授权指令法案》《芯片法案》《数据法案》,以及《网络复原力法案》(CRA)的提案,此类法案和提案大多数都需要标准的支持。
因此,网络安全标准化成为当前CEN和CENELEC工作计划的优先事项之一,同时这也与《CEN和CENELEC 2030战略》一致。CEN和CENELEC的目标是通过利益相关方制定基于共识的标准,从而促进互信、满足市场要求、开放市场准入和促进创新,建立一个更美好、更安全、更具可持续性的欧洲。
欧洲标准化对提高欧洲应对网络威胁的整体复原力、确保民众和企业获得值得信赖的可靠产品、服务和工艺等方面有着战略性意义。欧洲和国际标准化机构积极参与标准制定,从而确保用户和组织的网络安全。CEN和CENELEC可以通过联络ISO和IEC等组织,将通用标准推广到全世界。
欧洲采用的国际标准都有欧洲的相应文件作为补充,从而满足其特殊需求。CEN和CENELEC正在建立标准战略框架,减少网络风险,促进创新成果落地,提升质量,并支持遵守欧洲法律。因此,维护当前的欧洲标准化体系十分重要。在过去的30年里,该体系帮助建立了稳健的单一市场,通过《维也纳协议》和《法兰克福协议》为ISO和IEC工作做出了极大的贡献。
所以,寻找更多的机会进一步发展欧洲标准化体系,并将协调标准推向全球也十分重要。比如,通过与其他国际组织合作,我们抓住机遇来支持欧洲政策措施,比如欧盟-美国贸易技术委员会,还有即将成立的欧盟-印度贸易技术委员会,并与具有共同利益的大国分享和保持一致的发展目标。
标准在《网络复原力法案》中的重要作用
欧盟委员会网络安全与数字隐私部门政策官
迈卡·弗伦巴赫(Maika Fohrenbach)
《网络复原力法案》(CRA)于2022年9月15日颁布。我们正努力推广实施CRA,同时也在全力准备法案的补充条款,而这时就标准就可以发挥重要作用了。
CRA是第一个明确了经济运营者的一致网络安全义务的欧盟法案,并提高了制造商对欧盟市场投放产品的网络安全性的责任。其中一项主要责任就是向市场投放产品时,必须满足一系列必要的网络安全要求。这些要求聚焦于技术中立目标,并需要进一步明确为技术规范。制造商的另一项重要义务是通过采用合格评定程序明示产品的合规性,而标准在其中起到重要作用,因为标准明确了用于合格评定程序的评估方法。
那么,这些标准是如何制定的,又起到怎样的作用?欧盟委员会已提出需求并着手准备协调标准的制定工作。协调标准为制造商和市场监管机构带来了关键优势,一旦制造商采用了协调标准,就可以更容易地验证他们是否遵循了CRA法案的规定。
协调标准通常由欧盟委员会提出需求并交由欧洲标准化机构制定。我们已经开展了准备工作,并乐见CEN和CENELEC启动了对可作为CRA基础的现有标准的摸底调查。协调标准的重要价值在于合规性推定。制造商只要说自己采用了协调标准,就意味着满足网络安全要求,而无需提供其他证明。
这一点非常重要,制造商通常自愿地以协调标准为工具体现合规性。协调标准通常以国际标准、欧洲标准、国家标准,还有广泛应用的技术规范等为基础。我们将与所有相关方紧密合作,共同制定CRA标准化路线图,尤其是与欧洲标准化机构合作。我们预计需要2年时间制定第一批标准,在此之后相关工作仍会继续开展,因为我们有远大的目标。
如何使标准支持《网络复原力法案》
Umlaut公司网络安全标准化专家,ETSI网络技术委员会副主席 萨米·艾哈迈迪(Samim Ahmadi)
从数据中我们能看出,这些年标准和标准机构的数量呈指数型增长,带来了大量网络安全标准。因此,我们面临着巨大挑战:究竟哪些标准很重要,或能被重新利用来满足CRA法案要求?
CRA法案涉及的是具有数字元素的产品的网络安全性,这个范围非常宽泛,大部分网络安全标准跟CRA法案都有关联之处。因此,我们要对不同机构的所有标准进行差距分析,以便确定:这些标准是否能满足CRA的要求?对CRA的支撑程度如何?
我们也需要明确未来谁会寻求这些标准,因为这是非常耗时的工作。还有,这些标准是否彼此冲突?去年发布的标准可能比10年前发布的标准更合适、更顺应当前的需求。
做差距分析要花很多时间。幸好我们与欧洲标准组织(ESOs)和各行业合作来解决这个问题。这些组织也在努力明确与CRA有关的标准,以及关联点在何处?如何进行整合?如何在此基础上建立统一的标准框架?让我们拭目以待。
