2023年2月7日����,2023網(wǎng)絡(luò)安全標(biāo)準(zhǔn)大會以線上線下結(jié)合方式召開。本次大會為第七屆�,主題是“歐洲標(biāo)準(zhǔn)化支持歐盟網(wǎng)絡(luò)安全立法”,1600多位來自歐盟和其他地區(qū)的代表出席會議或線上參會?��!吨袊鴺?biāo)準(zhǔn)化》雜志社將會議主要內(nèi)容加以翻譯,供讀者借鑒��。
2023網(wǎng)絡(luò)安全標(biāo)準(zhǔn)大會由歐盟網(wǎng)絡(luò)安全局(ENISA)與歐洲標(biāo)準(zhǔn)化委員會(CEN)�、歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)和歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)三大歐洲標(biāo)準(zhǔn)組織(ESOs)共同舉辦。來自歐盟委員會��、ESOs�����、ENISA的領(lǐng)導(dǎo)�����、專家以及工商界代表分享了對歐洲標(biāo)準(zhǔn)化如何支持歐盟網(wǎng)絡(luò)安全立法的見解�。
CEN和CENELEC總干事埃琳娜·圣地亞哥·希德(Elena Santiago Cid)、CENELEC主席沃夫?qū)つ峒@╓olfgang Niedziella)����、ETSI秘書長路易斯·霍爾赫·羅梅羅(Luis Jorge Romero)、ENISA市場認(rèn)證及標(biāo)準(zhǔn)化部門負(fù)責(zé)人安德里亞斯·米特拉卡斯(Andreas Mitrakas)��、歐盟委員會網(wǎng)絡(luò)安全與數(shù)字隱私政策部門負(fù)責(zé)人克里斯蒂娜·科克特普·德·維隆(Christiane Kirketerp de Viron)等在大會上發(fā)表致辭�����。
大會分為四個專題討論會����,分別就從地區(qū)和全球角度看待歐盟標(biāo)準(zhǔn)化的未來、標(biāo)準(zhǔn)如何支撐《網(wǎng)絡(luò)復(fù)原力法案》����、內(nèi)部市場電子交易的電子認(rèn)證和信托服務(wù)(eIDASv2)及數(shù)字身份、歐盟網(wǎng)絡(luò)安全立法現(xiàn)狀開展探討�����。
關(guān)于ENISA
歐盟網(wǎng)絡(luò)安全局(ENISA)旨在讓全歐洲達到較高的網(wǎng)絡(luò)安全水平�����。ENISA參與歐盟網(wǎng)絡(luò)政策制定�����,通過網(wǎng)絡(luò)安全認(rèn)證計劃提高信息通信技術(shù)產(chǎn)品���、服務(wù)和流程的可靠性����,并與歐盟成員國和機構(gòu)開展合作,幫助歐洲更好地應(yīng)對未來的網(wǎng)絡(luò)挑戰(zhàn)����。ENISA由《網(wǎng)絡(luò)安全法案》授權(quán)監(jiān)督標(biāo)準(zhǔn)化領(lǐng)域的各項進展�����,并基于CEN�、CENELEC、ETSI和網(wǎng)絡(luò)安全協(xié)調(diào)小組(CSCG)等歐洲標(biāo)準(zhǔn)化組織現(xiàn)有的標(biāo)準(zhǔn)化機制開展工作�����。
關(guān)于CEN和CENELEC
歐洲標(biāo)準(zhǔn)化委員會(CEN)和歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)是歐盟和歐洲自由貿(mào)易聯(lián)盟(EFTA)認(rèn)可的歐洲標(biāo)準(zhǔn)化組織�,負(fù)責(zé)制定歐洲標(biāo)準(zhǔn),為材料��、工藝���、產(chǎn)品和服務(wù)等領(lǐng)域制定規(guī)范和流程���。CEN和CENELEC的成員是34個歐洲國家的國家標(biāo)準(zhǔn)化機構(gòu)和國家電工委員會��,歐洲標(biāo)準(zhǔn)(EN)和CEN和CENELEC通過的其他標(biāo)準(zhǔn)化成果得到全體成員的認(rèn)可和采納���。
關(guān)于ETSI
歐洲電信標(biāo)準(zhǔn)協(xié)會(ETSI)為成員提供開放包容的環(huán)境,支撐各行各業(yè)全球通用型信息通信技術(shù)系統(tǒng)和服務(wù)標(biāo)準(zhǔn)的制定�����。作為非營利組織�����,ETSI有950多個成員���,來自五大洲的64個國家�����,涵蓋私營公司��、研究機構(gòu)��、學(xué)術(shù)機構(gòu)���、政府和公共組織�����。ETSI是歐盟認(rèn)可的歐洲標(biāo)準(zhǔn)組織之一����。
<
專家講話亮點摘錄
>
我們面臨的網(wǎng)絡(luò)挑戰(zhàn)以及標(biāo)準(zhǔn)如何提供助力
歐盟委員會網(wǎng)絡(luò)安全與數(shù)字隱私政策部門負(fù)責(zé)人
克里斯蒂娜·科克特普·德·維隆
(Ms. Christiane Kirketerp de Viron)
我認(rèn)為�,人們面臨的第一個重大挑戰(zhàn)是網(wǎng)絡(luò)不僅日益復(fù)雜,而且對關(guān)鍵基礎(chǔ)設(shè)施和業(yè)務(wù)的網(wǎng)絡(luò)攻擊也在與日俱增�。公司哪怕有了補丁�����,也往往不對網(wǎng)絡(luò)系統(tǒng)進行優(yōu)化��,跨國的信息流通也不夠通暢��。
第二個挑戰(zhàn)是社會和經(jīng)濟的數(shù)字化轉(zhuǎn)型�。我們投入了數(shù)十億歐元建設(shè)數(shù)字化社會,但是也需要投資網(wǎng)絡(luò)安全���。如果只注重數(shù)字化而忽視了網(wǎng)絡(luò)安全��,那么我們的投資無異于抱薪救火�����。切實增加網(wǎng)絡(luò)安全方面的投資是巨大的挑戰(zhàn)��。
第三個重大的挑戰(zhàn)是面對技術(shù)發(fā)展要占據(jù)先機����。最近,大家都在討論ChatGPT及其對人們生活的影響��。實際上��,ChatGPT能協(xié)助人們進行網(wǎng)絡(luò)犯罪�����。技術(shù)的發(fā)展會給人類帶來新的現(xiàn)實問題�����,而歐盟必須提前做好準(zhǔn)備����。如果我們想保護自己�����,就應(yīng)當(dāng)堅持在這個領(lǐng)域的技術(shù)自主性�����。
這就需要標(biāo)準(zhǔn)的協(xié)助了�。我們需要歐洲協(xié)調(diào)標(biāo)準(zhǔn)來確?�!毒W(wǎng)絡(luò)復(fù)原力法案》(CRA)的成功實施��,因此標(biāo)準(zhǔn)化工作愈發(fā)具有戰(zhàn)略意義�。標(biāo)準(zhǔn)化工作開始越來越多地體現(xiàn)倫理,這是我們保護歐盟價值觀的方式�����。
我堅信��,我們能在歐洲市場內(nèi)攜手并肩����,同時也能與志同道合的國際伙伴扎實推進全球標(biāo)準(zhǔn)化進程��。
歐洲單一市場標(biāo)準(zhǔn)化的益處
CEN和CENELEC總干事
埃琳娜·圣地亞哥·希德(Ms. Elena Santiago Cid)
今年,是歐洲單一市場成立30周年�,在過去30年間我們領(lǐng)略到了歐洲協(xié)調(diào)標(biāo)準(zhǔn)的益處以及標(biāo)準(zhǔn)化的魅力。現(xiàn)在��,一項歐洲標(biāo)準(zhǔn)發(fā)布后����,會被CEN和CENELEC全體成員國等同采用,各國能夠摒棄互相矛盾的國家標(biāo)準(zhǔn)���,以實現(xiàn)整個歐洲的協(xié)調(diào)發(fā)展����。
標(biāo)準(zhǔn)能支持立法����,減少合規(guī)成本,增加競爭力���,促進安全�����、健康和環(huán)境保護等���,因而具有越來越大的價值�。
我們正齊心協(xié)力應(yīng)對來自歐洲乃至全球的挑戰(zhàn)��。我們不應(yīng)低估與國際標(biāo)準(zhǔn)組織協(xié)作的重要意義���。我們也應(yīng)當(dāng)清楚制定標(biāo)準(zhǔn)是戰(zhàn)略性決策�,這涉及很重要的問題:我們想要一個怎樣的歐洲���?我們想從這個世界得到什么�����?我們樂于通過標(biāo)準(zhǔn)化分享歐洲價值觀�?����!禖EN和CENELEC 2030戰(zhàn)略》的目標(biāo)之一就是拓展歐洲標(biāo)準(zhǔn)化工作范圍��,以歐洲標(biāo)準(zhǔn)和歐洲價值觀提高對國際標(biāo)準(zhǔn)化工作的影響力����。
鑒于市場的碎片化,我想重點強調(diào)協(xié)調(diào)一致對歐洲的重要性���,為了增強歐洲工業(yè)的競爭力����,我們不僅需要立法一致�����,更需要自愿性一致��。通過國家授權(quán)原則�����,CEN和CENELEC可以聯(lián)結(jié)各個利益相關(guān)方����。
網(wǎng)絡(luò)安全會影響所有人,我們需要提高認(rèn)識��,給所有受其影響和有表達意愿的相關(guān)方參與標(biāo)準(zhǔn)制定流程的機會�。因此,CEN和CENELEC的34個成員國有義務(wù)以各自的方式與國內(nèi)利益相關(guān)方溝通,以免歐洲的多樣性和豐富性阻滯需要及時交付的統(tǒng)一標(biāo)準(zhǔn)的制定��。
歐洲標(biāo)準(zhǔn)化對提高應(yīng)對網(wǎng)絡(luò)威脅的復(fù)原力有關(guān)鍵作用
CENELEC主席
沃夫?qū)つ峒@∕r. Wolfgang Niedziella)
網(wǎng)絡(luò)安全是歐盟的當(dāng)務(wù)之急��。2020年12月��,歐盟委員會實施了一項新的歐盟網(wǎng)絡(luò)安全戰(zhàn)略�����,自此���,委員會通過了一系列法案和提案�����,包括《無線電設(shè)備授權(quán)指令法案》《芯片法案》《數(shù)據(jù)法案》��,以及《網(wǎng)絡(luò)復(fù)原力法案》(CRA)的提案���,此類法案和提案大多數(shù)都需要標(biāo)準(zhǔn)的支持。
因此�,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化成為當(dāng)前CEN和CENELEC工作計劃的優(yōu)先事項之一,同時這也與《CEN和CENELEC 2030戰(zhàn)略》一致���。CEN和CENELEC的目標(biāo)是通過利益相關(guān)方制定基于共識的標(biāo)準(zhǔn)�,從而促進互信���、滿足市場要求�、開放市場準(zhǔn)入和促進創(chuàng)新�����,建立一個更美好���、更安全����、更具可持續(xù)性的歐洲�。
歐洲標(biāo)準(zhǔn)化對提高歐洲應(yīng)對網(wǎng)絡(luò)威脅的整體復(fù)原力、確保民眾和企業(yè)獲得值得信賴的可靠產(chǎn)品��、服務(wù)和工藝等方面有著戰(zhàn)略性意義����。歐洲和國際標(biāo)準(zhǔn)化機構(gòu)積極參與標(biāo)準(zhǔn)制定,從而確保用戶和組織的網(wǎng)絡(luò)安全��。CEN和CENELEC可以通過聯(lián)絡(luò)ISO和IEC等組織,將通用標(biāo)準(zhǔn)推廣到全世界����。
歐洲采用的國際標(biāo)準(zhǔn)都有歐洲的相應(yīng)文件作為補充,從而滿足其特殊需求�。CEN和CENELEC正在建立標(biāo)準(zhǔn)戰(zhàn)略框架,減少網(wǎng)絡(luò)風(fēng)險���,促進創(chuàng)新成果落地��,提升質(zhì)量��,并支持遵守歐洲法律��。因此����,維護當(dāng)前的歐洲標(biāo)準(zhǔn)化體系十分重要����。在過去的30年里,該體系幫助建立了穩(wěn)健的單一市場�,通過《維也納協(xié)議》和《法蘭克福協(xié)議》為ISO和IEC工作做出了極大的貢獻。
所以�����,尋找更多的機會進一步發(fā)展歐洲標(biāo)準(zhǔn)化體系,并將協(xié)調(diào)標(biāo)準(zhǔn)推向全球也十分重要�����。比如�����,通過與其他國際組織合作���,我們抓住機遇來支持歐洲政策措施,比如歐盟-美國貿(mào)易技術(shù)委員會�����,還有即將成立的歐盟-印度貿(mào)易技術(shù)委員會�,并與具有共同利益的大國分享和保持一致的發(fā)展目標(biāo)。
標(biāo)準(zhǔn)在《網(wǎng)絡(luò)復(fù)原力法案》中的重要作用
歐盟委員會網(wǎng)絡(luò)安全與數(shù)字隱私部門政策官
邁卡·弗倫巴赫(Maika Fohrenbach)
《網(wǎng)絡(luò)復(fù)原力法案》(CRA)于2022年9月15日頒布���。我們正努力推廣實施CRA�����,同時也在全力準(zhǔn)備法案的補充條款����,而這時就標(biāo)準(zhǔn)就可以發(fā)揮重要作用了。
CRA是第一個明確了經(jīng)濟運營者的一致網(wǎng)絡(luò)安全義務(wù)的歐盟法案��,并提高了制造商對歐盟市場投放產(chǎn)品的網(wǎng)絡(luò)安全性的責(zé)任����。其中一項主要責(zé)任就是向市場投放產(chǎn)品時,必須滿足一系列必要的網(wǎng)絡(luò)安全要求���。這些要求聚焦于技術(shù)中立目標(biāo)��,并需要進一步明確為技術(shù)規(guī)范���。制造商的另一項重要義務(wù)是通過采用合格評定程序明示產(chǎn)品的合規(guī)性,而標(biāo)準(zhǔn)在其中起到重要作用�,因為標(biāo)準(zhǔn)明確了用于合格評定程序的評估方法。
那么�,這些標(biāo)準(zhǔn)是如何制定的,又起到怎樣的作用�?歐盟委員會已提出需求并著手準(zhǔn)備協(xié)調(diào)標(biāo)準(zhǔn)的制定工作。協(xié)調(diào)標(biāo)準(zhǔn)為制造商和市場監(jiān)管機構(gòu)帶來了關(guān)鍵優(yōu)勢����,一旦制造商采用了協(xié)調(diào)標(biāo)準(zhǔn)��,就可以更容易地驗證他們是否遵循了CRA法案的規(guī)定�����。
協(xié)調(diào)標(biāo)準(zhǔn)通常由歐盟委員會提出需求并交由歐洲標(biāo)準(zhǔn)化機構(gòu)制定�。我們已經(jīng)開展了準(zhǔn)備工作�����,并樂見CEN和CENELEC啟動了對可作為CRA基礎(chǔ)的現(xiàn)有標(biāo)準(zhǔn)的摸底調(diào)查����。協(xié)調(diào)標(biāo)準(zhǔn)的重要價值在于合規(guī)性推定����。制造商只要說自己采用了協(xié)調(diào)標(biāo)準(zhǔn),就意味著滿足網(wǎng)絡(luò)安全要求��,而無需提供其他證明�。
這一點非常重要,制造商通常自愿地以協(xié)調(diào)標(biāo)準(zhǔn)為工具體現(xiàn)合規(guī)性�����。協(xié)調(diào)標(biāo)準(zhǔn)通常以國際標(biāo)準(zhǔn)、歐洲標(biāo)準(zhǔn)����、國家標(biāo)準(zhǔn),還有廣泛應(yīng)用的技術(shù)規(guī)范等為基礎(chǔ)�。我們將與所有相關(guān)方緊密合作,共同制定CRA標(biāo)準(zhǔn)化路線圖��,尤其是與歐洲標(biāo)準(zhǔn)化機構(gòu)合作�����。我們預(yù)計需要2年時間制定第一批標(biāo)準(zhǔn)�,在此之后相關(guān)工作仍會繼續(xù)開展,因為我們有遠大的目標(biāo)��。
如何使標(biāo)準(zhǔn)支持《網(wǎng)絡(luò)復(fù)原力法案》
Umlaut公司網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化專家�,ETSI網(wǎng)絡(luò)技術(shù)委員會副主席 薩米·艾哈邁迪(Samim Ahmadi)
從數(shù)據(jù)中我們能看出,這些年標(biāo)準(zhǔn)和標(biāo)準(zhǔn)機構(gòu)的數(shù)量呈指數(shù)型增長�����,帶來了大量網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���。因此�,我們面臨著巨大挑戰(zhàn):究竟哪些標(biāo)準(zhǔn)很重要,或能被重新利用來滿足CRA法案要求����?
CRA法案涉及的是具有數(shù)字元素的產(chǎn)品的網(wǎng)絡(luò)安全性,這個范圍非常寬泛�,大部分網(wǎng)絡(luò)安全標(biāo)準(zhǔn)跟CRA法案都有關(guān)聯(lián)之處。因此��,我們要對不同機構(gòu)的所有標(biāo)準(zhǔn)進行差距分析�����,以便確定:這些標(biāo)準(zhǔn)是否能滿足CRA的要求��?對CRA的支撐程度如何��?
我們也需要明確未來誰會尋求這些標(biāo)準(zhǔn)���,因為這是非常耗時的工作。還有�,這些標(biāo)準(zhǔn)是否彼此沖突?去年發(fā)布的標(biāo)準(zhǔn)可能比10年前發(fā)布的標(biāo)準(zhǔn)更合適�����、更順應(yīng)當(dāng)前的需求。
做差距分析要花很多時間���。幸好我們與歐洲標(biāo)準(zhǔn)組織(ESOs)和各行業(yè)合作來解決這個問題����。這些組織也在努力明確與CRA有關(guān)的標(biāo)準(zhǔn)��,以及關(guān)聯(lián)點在何處����?如何進行整合?如何在此基礎(chǔ)上建立統(tǒng)一的標(biāo)準(zhǔn)框架����?讓我們拭目以待。
-THE END-素材來源 | 中國標(biāo)準(zhǔn)化
