歐洲聯盟(European Union,EU)在數位領域展現了新的活力與決心,推動網路韌性法案(Cyber Resilience Act),目的是為物聯網(Internet of Things,IoT)裝置制定強化的資訊安全保護措施。這項法案要求裝置製造商在發生資訊安全攻擊時,必須及時通報當局和消費者,並能夠快速應對事件。
這項法案被視為歐盟對物聯網裝置制定的一項里程碑立法。若該法案通過,將對在歐盟營運的跨國公司產生影響,並有望在美國等地推動相似措施,類似於加州CCPA (California Consumer Privacy Act)隱私法。
透過此法案,製造商將面臨更嚴格的資訊安全要求,不僅需要提供持續且即時的安全支援,還要針對新出現的漏洞進行更新,還需向消費者提供「充足且準確的資訊」,確保消費者在購買和設置裝置時能充分了解資安考量。
法案中規定,對於不符合基本資訊安全要求的情況,製造商可能面臨最高1500萬歐元或全球年營收的2.5%的罰款,而對於其他法規違規最高罰款可達1000萬歐元或營業額的2%。
專業人士表示,企業端可以將接受這項歐盟的法規視為一項投資,藉此可以增加客戶對企業產品的信心與信任。雖然這項法案對製造商和企業提出更高的資訊安全要求,但同時也為這一多元的領域提供了清晰的指引,有助於企業更有方向地投資於資訊安全。預計該法案最快將2024年生效,為企業提供適應新規則的時間。此外,製造商應在法規生效後一年內報告「駭客或不法份子積極利用的漏洞和事件」,以確保更即時的資安通報。儘管這項提案還需歐洲議會和理事會的審查,可能經歷一段時間的討論,但歐盟希望這種新的法規能夠成為國際參考標準,加強歐洲在全球資安產業中的競爭力。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Luca Bertuzzi(2023).EU policymakers paved the way for cybersecurity law for connected devices.Euractiv.檢自:https://www.euractiv.com/section/cybersecurity/news/eu-policymakers-paved-the-way-for-cybersecurity-law-for-connected-devices/ (Nov.10,2023)
Jordan McDonald(2022).How the EU’s proposed IoT cybersecurity law could affect device makers.TECHBREW.檢自:https://www.emergingtechbrew.com/stories/2022/10/14/how-the-eu-s-proposed-iot-cybersecurity-law-could-affect-device-makers (Oct.14,2022)
Natasha Lomas(2022).The EU unboxes its plan for smart device security.TechCrunch.檢自:https://techcrunch.com/2022/09/15/eu-cyber-resilience-act-draft/ (Sep.15,2022)
