2021年5月25日

网络安全是强制性的吗?

写的:盖尔·Hø今

我们从客户那里得到的关于网络安全要求的最常见问题很简单:“这是强制性的吗?”

简单的回答是肯定的。但是，就像其他事情一样，细节是存在的，而这些细节正在迅速变化。让我们快速看一看今天的强制要求是什么，以及未来的强制要求是什么。

许多人将没有强制性认证计划解释为没有强制性要求。当然，事实并非如此，我们可以以欧洲的低电压指令为例。虽然没有认证的要求，但该指令及其列出的标准仍然是产品必须遵守的强制性标准。

让我们看看不同的地区:

欧洲

GDPR -通用数据保护条例	强制性的
红色-无线电设备指令	很快将成为强制性的(2024年8月1日)
欧盟网络安全法	强制性的,但是……
英国物联网法律	很快就会强制执行
芬兰网络安全标签	自愿的

GDPR -通用数据保护条例

信息安全并不被认为是典型的“网络安全”，但它是网络安全的一个组成部分。对于个人信息的保护，网络安全是一个先决条件，而像欧洲消费者物联网规范这样的网络安全标准，就处理各种类型的个人信息规定了一套要求。使用不符合这些要求的产品将危及您的GDPR符合性。

红色-无线电设备指令

同样，这个指令并不是很多人认为的网络安全指令，但RED包含了保护网络和个人信息的条款。编辑:这些规定现在(2022年1月)已经最终确定，要求将于2024年8月1日强制执行。如有任何问题或指导，请与作者联系。

欧盟网络安全法

该法案描述了产品、服务和过程的认证方案。2020年7月发布了产品认证(2级和3级)方案草案，2021年第二季度发布了最终版本。这种认证最初是自愿的，但要求不是。对于消费级物联网产品，预期的标准是ETSI/EN 303 645，该标准已被Nemko使用。beplay 电脑登录

英国

英国正在实施一项强制性的网络安全法规，该法规将适用于在英国销售的所有范围内联网消费产品。产品必须符合法律通过安全要求或指定标准概述的具体安全措施。最近发布的EN 303 645是“指定清单”中的一个标准，预计该清单将随着时间的推移而增长，以帮助企业简化工作。讽刺的是，考虑到英国退欧，英国的法规比欧盟网络安全法更符合典型的指令。英国的法规有两条可选的路线——要么实施立法中详细规定的安全要求，要么满足列出的标准的要求。由于英国在ETSI/EN 303 645的发展中发挥了重要作用，因此特别提到了该标准。此外，将赋予一个执法机构调查和采取步骤确保遵守的权力。

芬兰

以Traficom为代表的芬兰当局推出了物联网消费品标签计划。这样做既是为了展示安全性，也是提高公众意识的一种工具。标签方案使用ETSI/EN 303 645，并添加了一些内容。beplay 电脑登录Nemko目前正在为Traficom完成一个试点项目，以接受Nemko物联网网络认证计划作为芬兰网络安全标签的基础。

美国

物联网网络安全改进法案	很快就会强制执行
加州法律	强制性的
俄勒冈州的法律	强制性的

物联网网络安全改进法案

2020年12月，美国总统签署了物联网网络安全改进法案规定了联邦机构使用物联网的要求。由于联邦机构基本上可以使用任何物联网，这将成为美国事实上的需求。目前，该规定只等待NIST(国家标准与技术研究院)最终确定标准和指南。这意味着，我们可以像今天的安全要求一样，期待美国的网络要求。

加州

作为世界第五大经济体，加利福尼亚州于2020年1月1日引入了互联消费品的要求。使用ETbeplay 电脑登录SI/EN 303 645标准的Nemko网络认证将涵盖该法律。

俄勒冈州

俄勒冈州也于2020年1月1日对物联网产品提出了类似要求。就像加州法律一样，Nemko计划将涵盖这些要求。beplay 电脑登录

亚洲

新加坡	强制性的
中国	强制性的

新加坡

新加坡信息通信媒体发展局(IMDA)于2021年4月12日对所有新的住宅网关/路由器提出了强制性要求。从2021年10月12日起，市场上所有此类产品必须符合IMDA TS RG_SEC的这些要求。之所以选择这些产品，是因为它们在安全方面特别重要，因为它们是直接连接到互联网的第一道防线。这类产品一直是几次恶意和全球性攻击的目标，例如臭名昭著的Mirai蠕虫病毒。

新加坡的方案与欧洲标准ETSI/EN 303 645相似。

中国

在中国，根据产品、规格和用途的不同，有强制性和自愿性的多种方案。举一个强制性方案，就是由中国国家认监委发布的CNCA- ccis -2018《网络关键设备和网络安全专业产品安全认证实施规则》。该方案涵盖了基本的安全组件，如路由器和交换机、防火墙和IDS/IPS等。该方案也带有ISCC认证标志。