【認證內(nèi)容介紹】GDPR-ETSI/EN 303645���,EN 18031-1/-2/-3,SB-327���,NISTIR 8259, CCPA物聯(lián)網(wǎng)信息安全認證歡迎聯(lián)系。
關(guān)于網(wǎng)絡(luò)安全認證���,客戶最通常詢問的第一個問題是:"這是強制要求認證的嗎?
簡單的回答是"是的"。 但和所有的認證一樣,都有具體針對性���。而且具體的要求還是快速變化的�。 讓我們來概覽一下: 當前哪些國家有強制要求網(wǎng)絡(luò)安全認證;接下來�,又會有哪些國家會實行強制認證方案�����?
很多人習(xí)慣把沒有強制認證方案解讀成沒有強制需要符合的要求,當然�,事情并不是這樣的���。 以歐盟LVD 低電壓指令為例�����,沒有強制的認證要求,但是產(chǎn)品仍必須符合指令以及指令當中所列的對應(yīng)標準�。
我們來看看不同的地區(qū)對網(wǎng)絡(luò)安全的要求�。
微信:changqingshu32426
歐洲
GDPR - 通用數(shù)據(jù)保護法規(guī) 強制性
RED- 無線設(shè)備指令 強制性���,但...
EU 網(wǎng)絡(luò)安全法 強制性�,但...
UK IoT 法令 很快將強制
芬蘭網(wǎng)絡(luò)安全標簽 自愿性
GDPR – 通用數(shù)據(jù)保護法規(guī)
雖然不被認為是典型的"網(wǎng)絡(luò)安全",但信息安全是網(wǎng)絡(luò)安全的重要組成部分�����。對于個人信息的保護�����,網(wǎng)絡(luò)安全是先決條件�����,而網(wǎng)絡(luò)安全標準�����,如歐洲消費者物聯(lián)網(wǎng)規(guī)范�,規(guī)定了一套關(guān)于處理各類個人信息的要求。使用不符合這些要求的產(chǎn)品將危及您的GDPR遵從性�。
RED - 無線設(shè)備指令
同樣�,這個指令并不是很多人認為的網(wǎng)絡(luò)安全指令���,但是RED指令第3章包含了保護網(wǎng)絡(luò)和個人信息的條款�����。雖然這些條款尚未生效�����,但相關(guān)的工作已經(jīng)正在進行中。
EU 網(wǎng)絡(luò)安全法
目前實施的Article 3.3 (d).(e).(f) 網(wǎng)絡(luò)信息安全的協(xié)調(diào)標準EN 18031于2025年8月1日強制執(zhí)行�,涉及到銷售到歐洲的無線功能產(chǎn)品都要求符合Article 3.3的要求���。
UK
英國正在實施一項強制性網(wǎng)絡(luò)安全法規(guī)�,該法規(guī)適用于所有進入英國市的物聯(lián)網(wǎng)消費產(chǎn)品�����。產(chǎn)品必須通過立法規(guī)定的安全要求或指定的標準���,確保滿足指定的安全措施�。最近發(fā)布的EN 303 645就是"指定標準清單"上的其中一個標準���,預(yù)計該標準清單將隨著時間的推移而增加�,以幫助企業(yè)簡化他們的工作。具有諷刺意味的是�����,考慮到英國脫歐�,英國的監(jiān)管比《歐盟網(wǎng)絡(luò)安全法》更符合典型的指令���。英國的法規(guī)有兩種替代途徑——要么執(zhí)行立法中詳細規(guī)定的安全要求���,要么滿足列出的標準要求���。由于英國在ETSI/EN 303 645標準的發(fā)展中發(fā)揮了重要作用�����,因此特別提到了該標準�。此外�,執(zhí)法機構(gòu)將有權(quán)進行調(diào)查,并采取措施確保法規(guī)符合性�。
芬蘭
以Traficom為代表的芬蘭當局推出了一項物聯(lián)網(wǎng)消費品標簽計劃���。這樣做既是為了展示產(chǎn)品安全性���,也為了促進提高消費者的普遍意識���。標簽方案使用ETSI/EN 303 645的方案�����,并添加了一些內(nèi)容。Nemko目前正在完成一個試點項目,讓Traficom接受Nemko物聯(lián)網(wǎng)網(wǎng)絡(luò)認證方案作為芬蘭網(wǎng)絡(luò)安全標簽的基礎(chǔ)。
美國 NISTIR 8259
物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案 很快將強制
加州法令 強制性SB-327
俄勒岡州法令 強制性
物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案
2020年12月,美國總統(tǒng)簽署了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案,對聯(lián)邦機構(gòu)使用的物聯(lián)網(wǎng)設(shè)備提出了要求�����。由于聯(lián)邦機構(gòu)基本上可以使用任何物聯(lián)網(wǎng)設(shè)備�,這將成為美國事實上的要求���。該法規(guī)目前只等待NIST(國家標準與技術(shù)研究所)最終確定標準和指導(dǎo)方針。這意味著我們可以期待美國將會實施類似現(xiàn)在產(chǎn)品安全要求的網(wǎng)絡(luò)安全要求���。
加州法案
作為全球第五大經(jīng)濟體,美國加州于2020年1月1日推出了聯(lián)網(wǎng)消費品的要求���。使用ETSI/EN 303 645標準的Nemko網(wǎng)絡(luò)安全認證將涵蓋該法的要求。
俄勒岡州
俄勒岡州也于2020年1月1日對物聯(lián)網(wǎng)產(chǎn)品提出了類似要求�����。就像加州的法律一樣�,Nemko的網(wǎng)絡(luò)安全認證方案也將涵蓋這些要求。
亞洲
新加坡 強制性
中國 強制性
新加坡
新加坡信息媒體發(fā)展局(IMDA)于2021年4月12日對所有新的住宅網(wǎng)關(guān)/路由器提出強制性要求�。從2021年10月12日起�����,市場上的所有此類產(chǎn)品必須符合IMDA TS RG_SEC的要求。之所以選擇這些產(chǎn)品,是因為它們在網(wǎng)絡(luò)信息安全方面特別重要,這些設(shè)備是直接連接到互聯(lián)網(wǎng)的第一道防線。這類產(chǎn)品已經(jīng)成為幾次全球惡意攻擊的目標,例如臭名昭著的Mirai蠕蟲事件�����。
新加坡的這一方案具體要求與歐洲標準ETSI/EN 303 645相似���。
中國
依據(jù)《網(wǎng)絡(luò)安全法》第二十三條的規(guī)定�,對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品需依據(jù)國家標準強制性要求開展安全認證。對應(yīng)的實施規(guī)則是CNCA-CCIS-2018���。
制造商該怎么做?
不同制造商對網(wǎng)絡(luò)安全的關(guān)注和知識差異很大,但絕大多數(shù)都不符合當今的網(wǎng)絡(luò)安全標準���。這些標準目前雖然還不是所有國家都必須遵守的,但是在目前正在設(shè)計的產(chǎn)品的生命周期內(nèi)���,大多數(shù)市場都需要這些標準�����。
根據(jù)制造商的不同成熟度���,可以從不同的切入點開始網(wǎng)絡(luò)安全標準的結(jié)構(gòu)化工作�����。那些新進入該領(lǐng)域的制造商可以選擇先對標準進行學(xué)習(xí)和了解。
更成熟的制造商可以選擇直接去評估他們的產(chǎn)品是否符合標準�。在進行這樣的評估時�����,邀請像Nemko這樣的標準專家參與將是有益的。這樣既有知識淵博���、經(jīng)驗豐富的專家根據(jù)標準進行評估,也要能夠向客戶表明評估是由獨立的第三方機構(gòu)完成的���,確保了公正性。
微信:changqingshu32426
更新時間:2025/12/8 12:05:03
