欧盟网络安全法：建立对数字技术的信任

来源：欧盟议会网站 2018年7月10日

本文由亚太未来金融研究院研究团队编译

2018年7月10日，周二，一项新的互联网设备认证框架得到了欧洲议会工业委员会议员的支持，它将赋予欧盟网络安全机构更强大的角色。

“欧盟网络安全计划”将证明ICT产品、流程或服务在认证发布时是否存在漏洞、是否符合国际标准和技术规范。主要目的是：

为欧盟消费者提供更安全的“智能”设备和连接（物联网）设备

一个更强大的欧洲网络安全机构

最大限度地降低信息安全及网络系统存在的风险

提高网络弹性

网络安全认证框架

认证是自愿的，在适当的情况下将是强制性的，并将需要证明如下内容：

服务、功能、数据的机密性、完整性、可用性和隐私性；

这些服务、功能和数据只能被授权的人员和/或授权的系统和程序访问和使用;

用来识别所有已知的漏洞并处理任何新漏洞的流程；

产品、流程、服务旨在确保安全，其配备了最新的软件、没有任何已知的漏洞；

最小化与网络事件相关的其他风险，例如生命或健康风险。

三大等级

认证计划将指定三个基于风险的保证等级：

基本等级：也就是说，应用或设备被保护，可不受网络事件已知的基本风险的影响；

重要等级：也就是说，网络事件的已知风险可以被避免，且有能力通过有限的资源抵制网络攻击；

最高等级：也就是说，网络事件风险能被阻止，应用和设备能够得到重要资源保障来抵御最先进的网络攻击。