當前有一份新的歐盟理事會文件,涉及網路韌性法案(Cyber Resilience Act)。該文件取消了產品使用年限五年的限制,同時釐清了法案適用範圍。此外,還要求網路設備自動進行安全更新成為預設選項。
網路強韌性法案是一項立法提案,旨在為通過網路相互連接的設備引入基本的安全要求,以便進行資料傳輸,這種設備也被稱為物聯網(Internet of Things,IoT)。
而在歐盟理事會的技術委員會組成的網路工作小組進行的討論中,主席國瑞典提出了另一個關於新網路安全法的妥協方案。
關於產品使用壽命:原本的提案要求產品製造商要定期評估網路安全風險並提供五年的安全更新。而現在取消了五年的限制,這意昧著製造商可能需要負責提供更長時間的安全更新。此外,製造商不需要告知產品的預期壽命,這也就意味著消費者不知道什麼時候會有安全更新。
而關於網路安全法規範的範圍:新的歐盟理事會文件明確指出,該法規的範圍不包括網路設備以及產品製造商責任範圍外的雲端服務。只有在遠端資料儲存和處理服務對於網路設備的功能至關重要時,該法規才會對這些服務進行規範。舉例來說,如果設備需要使用製造商開發的資料庫才能正常運作,那該資料庫相關的服務就會被規範。換句話說,如果製造商使用不在規範內的第三方應用程式進行資料處理,但該製造商開發了軟體程式,則該軟體的網站必須遵守該法規的網路安全要求。
根據新的歐盟理事會文件,只有在透過網路賺取超過維護成本的網路設備才會受到《網路韌性法》的管轄,這樣就限制了開源軟體,因為開源軟體的發展和營運模式不同於傳統的專有軟體,常常是由全球社群共同維護和開發,並以免費或低成本提供給使用者。而若要在開源軟體上賺取商業利益,通常會透過網路連接產品的方式。因此,限制《網路韌性法》的範圍只針對透過網路賺取超過維護成本的連接產品,就會對開放原始碼軟體的發展造成一定程度的限制。值得注意的是,產品開發的條件並不重要,這一項限制似乎是為了確保像Android這樣的開源軟體仍在範圍之內。相比之下,由公家機構提供並僅涵蓋營運成本的產品則被排除在外。
根據新文件表示,系統會自動安裝安全更新程式,但也會提供明確且易於使用的退出機制,以及暫時延遲更新的選項。
新的歐盟理事會文件強調歐盟網路安全局 (European Union Agency for Cybersecurity, ENISA),負責收集所有正在被利用的漏洞,以便及時提供相關信息和建議。然而,這樣做可能會產生龐大的工作量和風險,因此歐盟機構已經把漏洞通知的責任交給國家網路安全事件應變團隊 (Computer Security Incident Response Team,CSIRT)。如果第三方發現某個 IoT 產品正在被攻擊,他們可以向 CSIRT 报告,CSIRT 應立即通知相關的製造商。另外,如果製造商開發了解決漏洞問題的安全措施,他們應該與負責該產品組件的組織分享相關方案,以便其他人可以使用這些方案來解決相似的問題。最後,歐盟理事會計劃在未來針對被利用的漏洞引入更具體的要求,以進一步提高網路安全。
當設備被實質修改時,即使該設備在規範生效前已經上市販售,妥協方案也要求該設備符合新的網路安全要求。例如,針對已知漏洞的安全修補程式並不算是實質修改,因此不需要遵守上述要求。但是如果更新是添加了新功能(例如新增應用程式),則需要遵守新的安全要求,因為新功能會擴大設備的被攻擊風險。
新規範規定了製造商在將第三方組件整合到其產品中時必須要進行盡責責查證。換句話說,製造商需要確認該組件符合網路安全要求,並且要求在公開可查詢的資料庫中是沒有已知漏洞的。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Luca Bertuzzi(2023). EU Council extends product lifetime, clarifies scope in cybersecurity law. EURACTIV .檢自:https://www.euractiv.com/section/cybersecurity/news/eu-council-extends-product-lifetime-clarifies-scope-in-cybersecurity-law/ (Mar. 17, 2023)
