歐盟正積極推進《網路韌性法案》(Cyber Resilience Act)的立法進程,這項法案意在引入對連網設備製造商的安全要求。三大歐盟機構,包括歐盟執委會、歐洲議會和歐洲理事會,正在進行最後的協商,期望能在2023年11月30日的政治三方會談中達成正式協議。
漏洞和事件報告
法案首次引入了對漏洞的主動報告義務,不僅要報告嚴重事件,還包括被利用的漏洞,然而,漏洞報告牽涉到資訊安全、隱私權、法律執行和國家安全等多個方面,這些方面的平衡可能會在政治層面引發爭議。因此,確定如何有效且公正地處理漏洞報告問題需要各方在政治協商中達成共識。歐洲各國傾向將其委派給各國的電腦資安事件應變團隊(Computer Security Incident Response Team,CSIRTs)。
特殊產品類別
法案列舉了一些重要產品類別,包括身分管理系統、瀏覽器、密碼管理器、惡意軟體檢測、虛擬私人網路(Virtual Private Network,VPN)等。對於這些特殊類別的產品,製造商需要由經認證的機構進行評估。
開源軟體的處理
針對開源軟體,法案提出了分層的方法。單獨開發和控制內嵌在產品中的開源軟體的商業機構必須遵守法案的所有義務。對於由支持組織協同開發的軟體,提出了較輕的法規,包括漏洞處理和報告的特定義務。
支援期限
製造商必須進行風險評估,並確保在支援期限內處理漏洞,並提供至少10年的安全更新。支援期限將在技術檔案中明確說明,並顯示在產品包裝上。
威脅情報的處理
處理高度敏感的威脅情報的問題仍然是協商的焦點,歐洲委員會提出的妥協方案是由國家CSIRTs和歐盟網路安全局(European Union Agency for Cybersecurity,ENISA)共同接收漏洞報告,但CSIRTs將處於主位。
歐洲議會特別關注CSIRTs是否可以無限期延遲傳送威脅情報,對此提出強烈反對。CSIRTs在處理高度敏感的威脅情報時,可能被授予一定的裁量權,允許他們基於「合理的網路安全原因」來延遲傳送這些訊息。然而,歐洲議會對這種擁有無限期延遲權的可能性表示反對,這是因為這樣的權利可能被濫用,使得重要的威脅情報無法及時共享,進而影響整體的網路安全。妥協文本要求CSIRTs在延遲通知時向ENISA提供正當的理由和發布通知的時間表,以確保資訊的及時共享。
結論
歐盟各方正就《連網設備網路安全法》的各方面進行協商,力求在11月30日的最後一次政治三方會談中達成最終協議。這項法案的通過將為歐盟建立一個統一的連網設備網路安全標準,加強對威脅情報的處理,同時確保製造商履行相應的安全義務,為未來網路安全奠定基礎。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Luca Bertuzzi (2023). EU Commission pitches double reporting of open security loopholes in cybersecurity law. Euractiv 檢自:https://www.euractiv.com/section/cybersecurity/news/eu-commission-pitches-double-reporting-of-open-security-loopholes-in-cybersecurity-law/ (Nov.16, 2023)
Luca Bertuzzi (2023). EU policymakers prepare to close on cybersecurity law for connected devices. Euractiv 檢自:https://www.euractiv.com/section/cybersecurity/news/eu-policymakers-prepare-to-close-on-cybersecurity-law-for-connected-devices/ (Nov.29, 2023)
Luca Bertuzzi (2023). EU policymakers’ advance on open source software, support period in new cybersecurity law. Euractiv 檢自:https://www.euractiv.com/section/cybersecurity/news/eu-policymakers-advance-on-open-source-software-support-period-in-new-cybersecurity-law/ (Oct.30, 2023)
