2021年5月25日

网络安全是强制性的吗?

写的:盖尔·Hø今

我们从客户那里得到的关于网络安全需求的最常见的问题很简单:“这是强制性的吗?”

简单的答案是肯定的。但是，与其他事物一样，有细节，而这些细节正在迅速变化。让我们快速浏览一下今天的强制规定，以及未来的强制规定。

许多人将没有强制性认证计划解释为没有强制性要求。当然，事实并非如此，我们可以以欧洲的低电压指令为例。该指令没有认证要求，但指令及其列出的标准仍然是产品必须遵守的。

让我们来看看不同的地区:

欧洲

通用数据保护条例	强制性的
红色-无线电设备指令	即将强制执行(2024年8月1日)
欧盟网络安全法	强制性的,但是……
英国物联网法律	很快将成为强制性的
芬兰网络安全标签	自愿的

通用数据保护条例

信息安全不被认为是典型的“网络安全”，但它是网络安全不可分割的一部分。对于个人信息的保护，网络安全是先决条件，而像欧洲消费者物联网规范这样的网络安全标准规定了一套关于处理各种类型的个人信息的要求。使用不符合这些要求的产品将危及您的GDPR合规性。

红色-无线电设备指令

同样，这一指令并不是许多人认为的网络安全，但RED包含了保护网络和个人信息的条款。编辑:这些规定现已(2022年1月)最终确定，要求将于2024年8月1日强制执行。如有任何问题或指导，请与作者联系。

欧盟网络安全法

本法案描述了产品、服务和过程的认证方案。产品认证(2级和3级)方案草案于2020年7月发布，最终版本将于2021年第二季度发布。这种认证最初是自愿的，但要求不是。对于消费级物联网产品，预期的标准是ETSI/EN 303 645, Nemko已经在使用该标准。beplay 电脑登录

英国

英国正在实施一项强制性网络安全法规，该法规将适用于在英国提供的所有范围内联网消费产品。产品必须符合法律规定的安全要求或指定标准所规定的特定安全措施。最近发布的EN 303 645就是“指定清单”中的一个标准，预计该清单将随着时间的推移而增长，以帮助企业简化工作。具有讽刺意味的是，考虑到英国退欧，英国的监管更符合典型的指令，而不是欧盟网络安全法。英国法规有两条可供选择的路线——要么实施立法中详细的安全要求，要么满足列出的标准的要求。由于英国在ETSI/EN 303 645的发展中发挥了重要作用，因此特别提到了该标准。此外，一个执法机构将被赋予调查和采取措施确保遵守的权力。

芬兰

以Traficom为代表的芬兰当局推出了一项物联网消费品标签计划。这样做既是为了证明安全性，也是提高公众意识的一种工具。标签方案使用ETSI/EN 303 645，并添加了一些内容。beplay 电脑登录Nemko目前正在完成一个试点项目，以便Traficom接受Nemko物联网网络认证计划，作为芬兰网络安全标签的基础。

美国

物联网网络安全改进法案	很快将成为强制性的
加州法律	强制性的
俄勒冈州的法律	强制性的

物联网网络安全改进法案

2020年12月，美国总统签署了物联网网络安全改进法案制定联邦机构使用物联网的要求。由于联邦组织基本上可以使用任何物联网，这将是美国事实上的要求。这项规定现在只有待NIST(国家标准与技术研究所)最终确定标准和指南。这意味着我们可以预期美国的网络要求，就像我们今天的安全要求一样。

加州

作为世界第五大经济体，加利福尼亚州于2020年1月1日推出了联网消费品的要求。使用ETbeplay 电脑登录SI/EN 303 645标准的Nemko网络认证将涵盖这一法律。

俄勒冈州

俄勒冈州也于2020年1月1日对物联网产品提出了类似的要求。就像加州的法律一样，Nemko计划将涵盖这些要求。beplay 电脑登录

亚洲

新加坡	强制性的
中国	强制性的

新加坡

2021年4月12日，新加坡信息通信媒体发展局(IMDA)对所有新的住宅网关/路由器提出了强制性要求。从2021年10月12日起，市场上所有此类产品必须符合这些要求，IMDA TS RG_SEC。之所以选择这些产品，是因为它们在安全方面特别重要，因为它是直接连接到互联网的第一道防线。这些产品已经成为几次恶意攻击的目标，例如臭名昭著的Mirai蠕虫。

新加坡的方案与欧洲标准ETSI/EN 303 645相似。

中国

在中国，根据产品、规格和用途，有许多强制性和自愿性的计划。中国国家认监委实施的CNCA- ccis -2018《网络关键设备和网络安全专业产品安全认证实施细则》就是一个强制性方案。该方案涵盖了路由器和交换机、防火墙和IDS/IPS等基本安全组件。该方案还带有ISCC认证标志。