欧盟作为全球主要经济组织之一,其安全治理政策动向往往具有风向标的作用。研究欧盟最新的软件安全政策,对我国在新时期加强网络安全建设,完善网络安全法律法规建设具有一定的借鉴意义。
一、
《网络弹性法案》提出,该法案适用于所有直接或间接连接到另一设备或网络的数字产品,其中数字产品包括“任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。同时,该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。供应商需要提供这些产品的组件材料清单,以实现《网络弹性法案》的立法目的。《网络弹性法案》确定了两个主要目标,以确保欧洲市场的安全度提升和网络正常运转。一是创造安全产品开发条件,确保硬件和软件产品的安全漏洞减少,确保制造商认真对待安全产品的生命周期管理;二是为用户在选择和使用数字产品时评估网络安全创造条件。该法案制定了四个具体目标:
1)确保制造商从设计和开发阶段开始和整个生命周期改善数字元素产品的安全性;
2)确保连贯的网络安全框架,促进硬件和软件生产商的合规;
3)提高数字产品安全属性的透明度;
4)使企业和消费者能够安全地使用数字产品。
据估计,该举措每年可导致影响安全的事故成本降低约1800亿至2900亿欧元,并将提高欧洲公司的全球声誉,促进欧盟产品对外销售额的增长。对于数字产品集成商来说,这一法案将提高安全属性的透明度,并便于使用带有数字元素的产品。消费者和公民也将受益,通过保护带有数字元素的产品中信息的机密性、完整性和可用性,实现个人数据的安全,从而对用户隐私和数据提供更高保护能力,更好匹配《通用数据保护条例》(GDPR)第2016/679号法规(EU)中的个人数据处理安全要求。
二、
1、监督机构
欧盟的《网络弹性法案》规定,每个成员国应至少任命一个市场监督机构,以确保《网络弹性法案》的有效实施。市场监督机构在必要时可与其他国家当局、其他成员国当局或欧盟委员会合作。
当市场监督机构有充分理由认为数字产品存在重大网络安全风险时,其会评估该产品是否符合该法案的规定。如果评估的结果是产品不符合法案规定,则市场监督机构可以根据具体风险大小,要求经济运营者对其产品进行整改、下架或召回。当市场监督机构认为违规行为不仅限于其国家领土时,有权通知欧盟委员会和其他成员国。
被监督主体包括制造商、授权代表、进口商、分销商或任何其他须履行该法案规定义务的自然人或法人。该法案对经济运营者进行了具体划分,针对不同类型的主体施加不同的义务。如果对产品是否符合《网络弹性法案》有合理的担忧,市场监督机构可以要求制造商、进口商和分销商提供评估设计、开发、生产和漏洞处理所需的所有数据,包括但不限于相关的内部文件,以证明产品符合《网络弹性法案》的要求。
2、制造商和进口商
制造商和进口商投放到欧盟市场的数字产品必须符合法案规定的基本网络安全要求,以确保相关产品具备适当的网络安全水平,且没有可被利用的漏洞。制造商是指开发或制造数字产品,或以其名义或商标设计、开发、制造和销售这些产品的任何主体。进口商是指在欧盟设立,将数字产品投放到欧盟市场,并且该数字产品带有在欧盟以外设立的自然人或法人名称或商标的自然人或法人。对制造商和进口商的总体要求包括:如果进口商和分销商发现数字产品存在漏洞,应立即通知制造商;如果产品存在重大网络安全风险,则需要立即通知产品销售地所在成员国的市场监督机构;进口商和分销商需要确保数字产品已附有适当的易于理解的说明和信息,以确保用户安全使用;当进口商或分销商发现数字产品的制造商无法遵守《网络弹性法案》中规定的义务时,应通知相关市场监督机构,并在可能的情况下通知产品用户。
2.1 制造商具体义务
除了对制造商和进口商的通用义务要求外,制造商还应满足一下要求:
第一,应确保产品是按照《网络弹性法案》中规定的基本网络安全要求设计、开发和生产的;产品具备基于风险的适当的网络安全水平;产品交付时没有任何已知的可利用漏洞。
第二,为履行上述义务,制造商应对与其产品相关的网络安全风险进行评估,并在产品的规划、设计、开发、生产、交付和维护过程中考虑其结果,从而最大限度地降低网络安全风险,防止发生安全事故并尽量减少其影响,包括对用户健康和安全的影响。此外,制造商在集成来自第三方的组件时必须尽职尽责,以确保这些组件不会危及产品的安全性。
第三,必须以与性质和网络安全风险相称的方式系统地记录相关的网络安全事项。
第四,产品投放欧盟市场时,技术文档中必须包含网络安全风险评估。
第五,制造商必须确保产品的漏洞在预期的产品生命周期内或从投放市场算起的五年内(以较短者为准)得到有效处理。
第六,在将产品投放市场之前,制造商必须起草技术文档,该文档必须包含所有相关数据并且必须不断更新;进行产品质量评估;确保产品满足欧盟符合性声明,并为产品张贴CE标志;产品随附清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。
第七,制造商需要制定适当的政策和程序以处理和修复潜在的漏洞。
第八,制造商还可以选择任命一名授权的欧盟代表,以履行制造商的某些义务。第九,制造商负有报告义务,如果产品中包含任何被活跃利用的漏洞或任何事件对产品的安全性产生影响,制造商需要在发现上述情况后的24小时内,立即向欧盟网络安全机构(European Union Agency for Cybersecurity,ENISA)报告此情况,不得无故拖延。
此外,在识别组件中的漏洞后,制造商需要将漏洞报告给维护组件的个人或实体。制造商的义务适用于其他主体,如果自然人或法人对产品进行重大修改,则应将其视为《网络弹性法案》规定的制造商,并承担制造商的义务。如果进口商或分销商以其名称或商标将数字产品投放到欧盟市场,则应被视为《网络弹性法案》中的制造商,并受制造商义务的约束。
2.2 进口商具体义务
除上述对制造商和进口商通用性义务要求外,进口商还应履行以下具体义务:
第一,在将产品投放市场之前,进口商必须确保:制造商已进行产品质量评估;制造商已起草技术文件;产品带有CE标志;产品附有清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。
第二,进口商不得将他们认为不符合《网络弹性法案》规定的基本网络安全要求的产品投放市场。
第三,进口商必须在数字产品的包装或产品随附文件中标明其名称、注册商号或注册商标、邮政地址和可以联系到他们的电子邮件地址。联系方式应使用用户和市场监督机构易于理解的语言。
第四,在数字产品投放市场后的十年内,进口商必须保留一份欧盟符合性声明的副本,以供市场监督机构使用。
3、经销商
经销商是供应链中除制造商或分销商之外的,向欧盟市场提供数字产品的任何自然人或法人。在将数字产品投放到市场上时,经销商必须根据《网络弹性法案》的要求谨慎行事。在销售产品之前,经销商需要确保产品带有CE标志、制造商已随附信息和说明以及欧盟符合性声明,并确保进口商已在产品或其包装上标明其名称、注册商号或注册商标以及联系地址。
三、
欧盟将网络安全的范围扩大到整个产业链。随着软件产业的快速发展,软件产业链也越发复杂多元,复杂的软件产业链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。而欧盟的《网络弹性法案》更是将与之配套的硬件产业链也囊取其中,涵盖了市场上所有含有数字元素的产品。
欧盟委员会意识到,只有整个产业链供应链的所有组件都安全时,整个产业链供应链的网络安全才能得到保证。欧盟在《网络弹性法案》也明确提出为了便于进行脆弱性分析,制造商应使用数字元素识别和记录产品中包含的组件,包括起草软件材料清单。软件材料清单可以为制造、购买和操作软件的人提供信息,以增强他们对供应链的理解,这有多种好处,最明显的是,它帮助制造商和用户跟踪已知的新出现的漏洞和风险。
与之对应的,美国商务部下属的国家电信和信息管理局(NTIA)在研究SBOM项目的范围时提出,“应考虑所有使用或生产软件的行业,包括汽车、金融、医疗保健、运营技术(OT)和传统 IT。尽管该项目的重点是软件而非硬件,但软件本身是不会运行的。一个软件系统不仅需要传统的计算硬件(如CPU、内存、磁盘、网络等),也可能包括使设备实际运作的功能硬件,如执行器和传感器”。同样是涵盖了软硬件的全部产业链供应链。
四、总结
由此可以看出欧盟的《网络弹性法案》对具有数字元素和相应嵌入式软件的有形产品进行了规制,适用的经济经营者在范围上实现了对产业链的全覆盖,包括AI以及具有该法规含义内数字元件的产品的机械产品,从而保障产业链供应链的整体安全性提升。
对于我国来看,着力提升产业链供应链安全水平是构建新发展格局和推动高质量发展的主要内容,也是健全国家安全体系和增强维护国家安全能力的重要组成。结合欧盟以及美国最新颁布的政策法规,建立最小物料清单可能是一个值得借鉴与参考的方法,由此可以提升产业链供应链韧性和产品安全水平,对于维护我国网络安全及规范相关市场主体行为,实现长期稳定发展,应对复杂国际形势有着重要意义。
