欧盟立法：数字产品必须遵守安全基线，违反者可罚全球收入2.5%

从家用电器到联网玩具，再到计算机和软件，所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新;

我国在欧洲经营数字产品业务的企业，需及早规划应对策略，建立健全网络安全保障机制，以防违规。

安全内参9月16日消息，欧洲公布了最新的网络安全基本要求提案《网络弹性法案》，要求数字设备与软件开发厂商证明产品能够满足要求，从而降低家用电器、可穿戴设备、软件与计算机等一系列产品遭黑客攻击的风险。

开售后需提供五年安全更新

昨天提出的这项立法草案还要求，在欧盟开展业务的制造商在产品生命周期内或投放市场后的五年内(以较短者为准)，需持续提供安全补丁与更新。违反规定的企业将面临最高1500万欧元(约1.05亿元人民币)或全球营收2.5%的罚款。

欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)表示，“保证消费者购买的产品不存在已知漏洞，这一点很重要。但目前市场还满足不了这一要求。”他认为，此次立法是一项突破，标志着欧洲成为首个对软件提出强制性网络安全评估要求的洲。

德国电气与数字公司协会(ZVEI)的数字化经理尼尔斯·谢勒(Nils Scherrer)表示，此次立法将是一项“艰巨的任务”，安全评估和新的程序制度将给企业带来巨大的成本压力，“企业需要从根本上改变产品生命周期的内部流程”。该协会成员包括西门子、生产加热设备的博世AG子公司Bosch Thermotechnik GmbH等知名企业。

根据提案，带有数字组件的产品必须附带标签，说明其符合新规则并注明提供网络支持的时限。此项提案未涵盖受其他法律监管的医疗设备和汽车。

强制公开软件物料清单

在正式获批执行之前，立法者还需要就提案细节进行谈判，这一过程预计需要几个月时间。之后，企业将有两年的过渡准备期。

该提案称，企业需要公布软件物料清单(SBOM)，详细列出每款产品中使用的组件，以帮助制造商监控供应链并跟踪安全漏洞。一位参与提案起草的欧盟官员表示，物料清单的灵感来自美国总统拜登2021年签署的网络安全行政令。该命令要求联邦政府的各软件提供商披露产品中包含的组件。

关键产品需增加安全评估

这份草案还包括一份清单，囊括必须由第三方独立机构进行网络安全评估的38种关键技术产品。上述欧盟官员称，关键技术产品包括密码管理器和防火墙等软件，微控制器、工业物联网设备及智能电表等硬件。它们被认定是至关重要的，一旦遭到黑客入侵，极有可能引发巨大影响。不过，这位官员也提到，大约90%的企业应该只需要做自我安全认证。

图：38种关键技术产品清单

总部位于比利时布鲁塞尔的家电制造商协会Applia总干事保罗·法尔乔尼(Paolo Falcioni)表示，部分制造商担心第三方安全审查会推迟产品的发布时间，“这本质上是限制了产品的上市速度。”

提案还预留了部分空间，允许欧盟委员会划定“非常关键”类产品清单，这部分产品将必须接受欧盟网络安全专家的单独认证。

谢勒还提到，该法案定义的关键产品清单已经太过宽泛，其中不少产品可能根本不会被用于关键场景。他解释道，“同样一种能够接入网络的组件，在不同的应用场景下自然要对应不同的安全要求。它既可能被装在可口可乐售货机上，也可能被部署在核电站当中。”

与此同时，消费者权益倡导者们却认为这份清单还应该进一步扩展。位于布鲁塞尔的欧洲消费者组织的法律官员克劳迪奥·特谢拉 (Claudio Teixeira)认为，一旦可穿戴设备、联网玩具或家用恒温器等常见产品的信号被黑客劫持，很可能会造成重大损害。

去年，比利时消费者组织Test-Achats测试了16种联网设备，包括婴儿监视器、智能吸尘器和智能电视。其中10种存在严重安全漏洞，包括默认密码强度太低、缺少数据加密等，因此极易遭黑客入侵。特谢拉表示，“这让我们意识到，这部分市场存在很大问题。”

参考资料：wsj.com

来源：安全内参