2021年5月25日

网络安全是强制性的吗?

写的:盖尔·Hø今

我们从客户那里得到的关于网络安全要求的最常见的问题非常简单:“这是强制性的吗?”

简单的回答是肯定的。但是，和其他任何事情一样，也有细节，而这些细节正在迅速变化。让我们快速看一下今天哪些是强制性的，以及未来哪些将是强制性的。

许多人将缺乏强制性认证方案解释为缺乏强制性要求。当然，事实并非如此，我们可以以欧洲的低电压指令为例。没有认证的要求，但指令和它列出的标准仍然是强制性的，产品必须遵守。

让我们来看看不同的地区:

欧洲

GDPR—一般资料保护规例	强制性的
RED-无线电设备指令	即将成为强制性(2024年8月1日)
欧盟网络安全法	强制性的,但是……
英国物联网法律	即将成为强制性的
芬兰网络安全标签	自愿的

GDPR—一般资料保护规例

信息安全不是典型的“网络安全”，而是网络安全的重要组成部分。对于个人信息的保护，网络安全是一个先决条件，像欧洲消费者物联网规范这样的网络安全标准规定了一套关于处理各种个人信息的要求。使用不符合这些要求的产品将危及您的GDPR合规性。

RED -无线电设备指令

同样，这个指令不是很多人认为的网络安全，但是RED包含了保护网络和个人信息的条款。编辑:这些规定现在(2022年1月)已经最终确定，要求将于2024年8月1日强制执行。如有任何问题或指导，请与作者联系。

欧盟网络安全法

该法案描述了产品、服务和过程的认证方案。产品认证(2级和3级)方案草案于2020年7月发布，最终版本于2021年第二季度发布。该认证最初将是自愿的，但要求将不是。对于消费级物联网产品，预期标准是ETSI/EN 303 645，该标准已被Nemko使用。beplay 电脑登录

英国

英国正在实施一项强制性的网络安全法规，该法规将适用于在英国提供的所有联网消费产品。产品必须符合法律规定的安全要求或指定标准所规定的特定安全措施。最近发布的EN 303 645就是“指定清单”上的这样一个标准，预计该清单将随着时间的推移而增加，以帮助公司简化他们的工作。具有讽刺意味的是，考虑到英国脱欧，英国的监管比欧盟网络安全法更符合典型的指令。英国的法规有两条可供选择的路线——要么实施立法中详述的安全要求，要么满足列出的标准的要求。由于英国在制定ETSI/EN 303 645方面发挥了重要作用，因此特别提到了该标准。此外，一个执法机构将拥有调查和采取措施确保遵守的权力。

芬兰

以Traficom为代表的芬兰当局推出了物联网消费产品的标签计划。这样做既是为了展示安全性，也是作为提高公众意识的一种工具。标签方案使用ETSI/EN 303 645和一些补充。beplay 电脑登录Nemko目前正在为traffic完成一个试点项目，以接受Nemko物联网网络认证计划作为芬兰网络安全标签的基础。

美国

物联网网络安全改进法案	即将成为强制性的
加州法律	强制性的
俄勒冈州的法律	强制性的

物联网网络安全改进法案

2020年12月，美国总统签署了物联网网络安全改进法案规定了联邦机构使用物联网的要求。由于联邦组织基本上可以使用任何物联网，这将是美国事实上的要求。该规定现在只等待NIST(国家标准与技术研究所)最终确定标准和指导方针。这意味着我们可以期待美国的网络需求就像我们今天的安全需求一样。

加州

作为世界第五大经济体，加州于2020年1月1日推出了联网消费产品的要求。使用ETbeplay 电脑登录SI/EN 303 645标准的Nemko网络认证将涵盖该法律。

俄勒冈州

俄勒冈州也于2020年1月1日对物联网产品提出了类似的要求。就像加州的法律一样，Nemko计划将涵盖这些要求。beplay 电脑登录

亚洲

新加坡	强制性的
中国	强制性的

新加坡

2021年4月12日，新加坡信息通信媒体发展局(IMDA)对所有新的住宅网关/路由器引入了强制性要求。从2021年10月12日起，市场上的所有此类产品必须符合这些要求，IMDA TS RG_SEC。选择这些产品是因为它们在安全性方面特别重要，因为它是直接连接到互联网的第一道防线。这些产品已经成为几次恶意和全球性攻击的目标，例如臭名昭著的Mirai蠕虫。

新加坡方案与欧洲标准ETSI/EN 303 645有相似之处。

中国

在中国，根据产品、规格和用途，有许多强制性和自愿性的计划。举一个强制性方案，即CNCA- ccis -2018，即由中国国家认监委运行的《网络关键设备和网络安全专用产品安全认证实施规则》。该方案涵盖了基本的安全组件，例如路由器和交换机、防火墙和IDS/IPS。该方案还带有ISCC认证标志。