成功 针对硬件和软件产品的网络攻击 正变得令人不安地频繁发生。据 Cybersecurity Ventures 称,到 7 年,网络犯罪预计会给全球造成 2022 万亿美元的损失。如此高的代价自然会引起企业和政府的关注。美国带头 12 年 2021 月 XNUMX 日发布的关于改善国家网络安全的总统行政命令。 其次是 NIST 的安全软件开发框架 (SDF) 这正在慢慢成为一种既定的新最佳实践,任何软件产品都理所当然地需要这种做法。欧盟并没有袖手旁观—— 欧洲网络弹性法案 是一项拟议立法,旨在加强整个欧盟关键基础设施的网络安全。
该法案的反馈收集阶段早在 2020 年 14 月就开始了,但该法案的初稿直到 2022 年 XNUMX 月 XNUMX 日才发布。由于任何此类大规模立法都可能产生广泛影响,我们认为我们应该采取深入探讨并尝试解释该法案的全部内容以及谁将受到该法案的影响。让我们首先简要概述拟议的立法。
账单明细:您需要了解的内容
ECRA 旨在加强整个欧盟 (EU) 关键基础设施的网络安全。该法案主要影响基本服务运营商和数字服务提供商。这些在欧盟现有的网络和信息系统安全指令(NIS 指令)中进行了定义,其中包括能源、交通、银行、卫生和数字基础设施部门。
拟议的法案也适用于 NIS 指令未涵盖但向欧盟消费者提供在线服务的数字服务提供商。其中包括在线市场、云计算服务和搜索引擎。
由于它的目标是涵盖其他欧盟立法尚未涵盖的任何联网设备,因此它可能会影响物联网和其他联网设备,特别是那些已经上市的设备。
拟议的法案包括多项措施,例如:
- 为基本服务运营商和数字服务提供商建立网络安全认证计划。
- 创建网络安全信息共享平台,帮助组织共享有关网络威胁和事件的信息。拟议的法案包括在 24 小时内向欧盟网络安全局 (ENISA) 报告任何网络安全事件的义务。
- 采用评估网络安全风险的通用方法并制定风险管理指南。
- 建立欧洲网络弹性中心,在发生网络攻击时向成员国提供支持。
重要的是,拟议的立法包括针对 ICT 产品、服务和流程的认证计划。认证过程涉及指定合格评定机构 (CAB) 进行合格评定,以确定产品、服务或流程是否符合该法案规定的要求。该法案设立了欧洲网络弹性认证委员会,负责维护认证计划并确保其在整个欧盟的一致性。即使新董事会向相关产品、服务或流程的提供商颁发了合格证书,定期测试和审核仍将继续进行。持续的监控将确保一旦获得证书,对法案要求的遵守就不会松懈——保持合规意味着持续的。
此外,ECRA还提出了多项措施,以改善欧盟成员国之间的合作和信息共享,并加强欧盟的网络安全能力。其中包括建立欧洲网络安全能力中心和国家网络安全协调中心网络,以及制定网络安全事件报告和响应的共同框架。该法案还提议建立欧洲漏洞数据库,以免仅仅依赖美国的漏洞数据库 内华达州。
该法案还涵盖市场监督和执行,以确保所有成员国以及欧盟市场内提供的任何涵盖的设备和服务(无论其在何处制造)都得到正确遵守新标准。
它与美国最近的最佳实践有何关系?
如上所述,美国和欧盟都已着手升级各自市场的网络安全保护。因此,看看美国的新最佳实践是否已纳入 ECRA 是有意义的。
对于那些熟悉的人 SSDF (NIST 800-218) ECRA 的某些用语可能看起来很熟悉。该法案要求产品从一开始就包含安全性,而不是以后“添加”。 ECRA 包括识别和管理的要求 供应链风险,以及拟议的欧洲网络安全认证计划,尽管尚未正确定义,但可能需要使用 软件物料清单 (SBOM) 和安全的软件开发实践。
该提案还呼吁实施技术和组织措施来保护信息系统和数据,包括使用强身份验证和加密、监控和检测能力、事件响应计划以及定期安全测试和审计——所有要素都在提案中明确定义。 SSDF。
美国推广的新最佳实践之一是使用 SBOM 来跟踪依赖性、漏洞和软件许可。其目的是提高产品透明度,使制造商和用户能够更清楚地了解产品内部到底隐藏了什么。虽然 ECRA 没有明确提及 SBOM,但值得注意的是,软件透明度问题(包括 SBOM 的概念)长期以来一直是欧盟网络安全战略背景下讨论的话题。 2021年XNUMX月,欧盟委员会发布了一项提案 数字运营弹性监管 针对金融部门,其中包括要求金融实体使用和维护“其 ICT 系统和资产的全面且最新的清单”。该清单应包括“ICT系统和资产以及相应软件和硬件组件(如相关)的互连和相互依赖关系的最新地图”。
虽然这一要求是针对金融部门的,但它确实表明欧盟正在考虑软件透明度在确保网络安全弹性方面的重要性。未来《欧洲网络弹性法案》或其他立法举措是否会对 SBOM 提出更明确的要求,还有待观察。
该法案将如何影响您?
由于 ECRA 尚未最终确定,因此很难做出明确的决定。我们能做的就是与另一项全面的欧盟立法——GDPR 进行比较。
《通用数据保护条例》(GDPR) 是欧盟 (EU) 于 2016 年 25 月通过的一项全面的隐私和数据保护法规,并于 2018 年 XNUMX 月 XNUMX 日生效。该法案适用于所有收集、处理或存储数据的组织位于欧盟的个人的个人数据,无论组织位于何处或存储数据的位置如何。它规定组织有义务确保个人数据的安全和隐私,包括数据泄露通知、数据保护影响评估以及设计和默认隐私的要求。不遵守 GDPR 的组织可能会面临巨额罚款和其他处罚。
自从 GDPR 法案生效以来,我们注意到该法规的“涓滴效应”。最初,只有在欧盟开展业务的组织才认为需要遵守。美国企业因无视该法案的要求而面临多项高额罚款。如今,即使是与欧盟公民无关的企业也遵守这一规定。只有遵守法规才有意义,这样当您想向欧洲销售产品时,就无需为遵守法规而苦苦挣扎。
总体而言,ECRA 的感觉大致相同。由于世界上许多国家仍在努力应对网络安全事件的激增,任何旨在减轻软件生产商安全缺陷的全面而明确的立法都有很大的机会被采用。再次强调,提前遵守规定是有意义的,这样当您准备向欧盟出售产品时,您就已经得到了保障。
这意味着“这项法案会影响我吗?”这个问题的答案。如果您与软件制造有关,那么答案是肯定的。它可能不会影响您,但在某些时候,您将需要遵守规定,即使它只是被认为是一种新的常见最佳实践。
幸运的是,基于证据的安全中心可以提供帮助
为了克服不断变化的安全挑战,我们目前正在见证 应用程序安全到软件供应链安全的演变。它包括试图应对这些挑战的新一代技术和新颖工具。自动化工具和解决方案通过提供基于证据的持续代码安全保证平台来帮助组织实现新的安全级别,该平台可以证明软件开发生命周期和软件组件的可信度。
刻划式打标系统 是软件供应链安全中心。它收集证据并为通过 CI/CD 管道运行的每个构建提供这些证据。 Scribe 的解决方案旨在促进遵守美国和欧盟的法规和最佳实践,从而提高软件的透明度以及软件提供商和软件用户之间的信任。该平台支持详细的 SBOM 创建和共享以及其他安全见解。此外,该平台可以验证您正在查看的构建是否符合 SLSA 3 级和 NIST 的 SSDF 框架。考虑到 ECRA 和 SSDF 之间明显的关系和相似之处,能够证明您的软件符合 SSDF 也可能对建立 ECRA 合规性大有帮助。
最后一句话:不要措手不及
《欧洲网络弹性法案》目前只是一项提案,尚未被欧盟采纳。拟议的法案目前正处于立法程序中,正在接受欧洲议会和欧盟理事会的审查。该法案预计将经过多轮谈判和修改才能被通过为法律。该法案的最终版本很可能会发生变化,包括与产品安全、认证以及该法案涵盖的产品和部门相关的条款。
值得注意的是,该法案提议如何验证产品是否符合网络安全标准的细节尚未在已发布的草案中完全涵盖。该法案的最终版本可能包括对产品认证和验证以及许多其他需要澄清的领域的更具体要求。由于立法尚未完全实现,行业利益相关者建议立法应包含更精确的定义,同时考虑到数字产品的创建、功能和使用的变化。他们明确表示,过于严格的网络安全要求可能会导致中小企业被排除在市场之外。为了准确地显示事物的不确定性,一个新的 更新 自 2022 年 XNUMX 月起,SAAS 产品已明确置于法规范围之外。
为了给欧盟国家和相关产品开发商留出调整的时间,拟议的法规将在生效后 24 个月生效,但制造商的报告要求除外,该要求将在法规生效后 12 个月生效。法案成为法律。两年似乎很长,但如果您经营一家中小型企业,突然必须遵守一大堆新的网络安全法规,那么这个时间框架可能会感觉太短了。
无论具体细节如何,ECRA 都代表着欧盟在增强网络安全和保护关键基础设施方面向前迈出了重要一步,我们都可以期待这样一个世界:大多数企业都会像告知客户其 cookie 收集情况一样自然地遵守 ECRA政策。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
