(CWW)近年來(lái),針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì),造成的危害也越來(lái)越嚴(yán)重。特別是在后疫情時(shí)代和數(shù)字化轉(zhuǎn)型時(shí)期,加強(qiáng)安全治理逐漸成為當(dāng)今世界各國(guó)加強(qiáng)立法治理的重要方向。在此背景下,2022年9月15日,歐盟委員會(huì)發(fā)布網(wǎng)絡(luò)安全法規(guī)提案《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,CRA),該法案對(duì)歐盟的網(wǎng)絡(luò)安全提出了諸多的新要求,旨在加強(qiáng)歐盟數(shù)字產(chǎn)品的安全,整合現(xiàn)有安全監(jiān)管框架。
歐盟作為全球主要經(jīng)濟(jì)組織之一,其安全治理政策動(dòng)向往往具有風(fēng)向標(biāo)的作用。研究歐盟最新的軟件安全政策,對(duì)我國(guó)在新時(shí)期加強(qiáng)網(wǎng)絡(luò)安全建設(shè),完善網(wǎng)絡(luò)安全法律法規(guī)建設(shè)具有一定的借鑒意義。
(資料圖片)
一、《網(wǎng)絡(luò)彈性法案》的主要目標(biāo)
《網(wǎng)絡(luò)彈性法案》提出,該法案適用于所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品,其中數(shù)字產(chǎn)品包括“任何軟件或硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案,包括單獨(dú)投放市場(chǎng)的軟件或硬件組件”。同時(shí),該法案將適用于這些產(chǎn)品從設(shè)計(jì)階段到淘汰階段的整個(gè)生命周期。供應(yīng)商需要提供這些產(chǎn)品的組件材料清單,以實(shí)現(xiàn)《網(wǎng)絡(luò)彈性法案》的立法目的?!毒W(wǎng)絡(luò)彈性法案》確定了兩個(gè)主要目標(biāo),以確保歐洲市場(chǎng)的安全度提升和網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。一是創(chuàng)造安全產(chǎn)品開(kāi)發(fā)條件,確保硬件和軟件產(chǎn)品的安全漏洞減少,確保制造商認(rèn)真對(duì)待安全產(chǎn)品的生命周期管理;二是為用戶在選擇和使用數(shù)字產(chǎn)品時(shí)評(píng)估網(wǎng)絡(luò)安全創(chuàng)造條件。該法案制定了四個(gè)具體目標(biāo):
1)確保制造商從設(shè)計(jì)和開(kāi)發(fā)階段開(kāi)始和整個(gè)生命周期改善數(shù)字元素產(chǎn)品的安全性;
2)確保連貫的網(wǎng)絡(luò)安全框架,促進(jìn)硬件和軟件生產(chǎn)商的合規(guī);
3)提高數(shù)字產(chǎn)品安全屬性的透明度;
4)使企業(yè)和消費(fèi)者能夠安全地使用數(shù)字產(chǎn)品。
據(jù)估計(jì),該舉措每年可導(dǎo)致影響安全的事故成本降低約1800億至2900億歐元,并將提高歐洲公司的全球聲譽(yù),促進(jìn)歐盟產(chǎn)品對(duì)外銷售額的增長(zhǎng)。對(duì)于數(shù)字產(chǎn)品集成商來(lái)說(shuō),這一法案將提高安全屬性的透明度,并便于使用帶有數(shù)字元素的產(chǎn)品。消費(fèi)者和公民也將受益,通過(guò)保護(hù)帶有數(shù)字元素的產(chǎn)品中信息的機(jī)密性、完整性和可用性,實(shí)現(xiàn)個(gè)人數(shù)據(jù)的安全,從而對(duì)用戶隱私和數(shù)據(jù)提供更高保護(hù)能力,更好匹配《通用數(shù)據(jù)保護(hù)條例》(GDPR)第2016/679號(hào)法規(guī)(EU)中的個(gè)人數(shù)據(jù)處理安全要求。
二、《網(wǎng)絡(luò)彈性法案》的責(zé)任主體及責(zé)任義務(wù)
1、監(jiān)督機(jī)構(gòu)
歐盟的《網(wǎng)絡(luò)彈性法案》規(guī)定,每個(gè)成員國(guó)應(yīng)至少任命一個(gè)市場(chǎng)監(jiān)督機(jī)構(gòu),以確?!毒W(wǎng)絡(luò)彈性法案》的有效實(shí)施。市場(chǎng)監(jiān)督機(jī)構(gòu)在必要時(shí)可與其他國(guó)家當(dāng)局、其他成員國(guó)當(dāng)局或歐盟委員會(huì)合作。
當(dāng)市場(chǎng)監(jiān)督機(jī)構(gòu)有充分理由認(rèn)為數(shù)字產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí),其會(huì)評(píng)估該產(chǎn)品是否符合該法案的規(guī)定。如果評(píng)估的結(jié)果是產(chǎn)品不符合法案規(guī)定,則市場(chǎng)監(jiān)督機(jī)構(gòu)可以根據(jù)具體風(fēng)險(xiǎn)大小,要求經(jīng)濟(jì)運(yùn)營(yíng)者對(duì)其產(chǎn)品進(jìn)行整改、下架或召回。當(dāng)市場(chǎng)監(jiān)督機(jī)構(gòu)認(rèn)為違規(guī)行為不僅限于其國(guó)家領(lǐng)土?xí)r,有權(quán)通知?dú)W盟委員會(huì)和其他成員國(guó)。
被監(jiān)督主體包括制造商、授權(quán)代表、進(jìn)口商、分銷商或任何其他須履行該法案規(guī)定義務(wù)的自然人或法人。該法案對(duì)經(jīng)濟(jì)運(yùn)營(yíng)者進(jìn)行了具體劃分,針對(duì)不同類型的主體施加不同的義務(wù)。如果對(duì)產(chǎn)品是否符合《網(wǎng)絡(luò)彈性法案》有合理的擔(dān)憂,市場(chǎng)監(jiān)督機(jī)構(gòu)可以要求制造商、進(jìn)口商和分銷商提供評(píng)估設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)和漏洞處理所需的所有數(shù)據(jù),包括但不限于相關(guān)的內(nèi)部文件,以證明產(chǎn)品符合《網(wǎng)絡(luò)彈性法案》的要求。
2、制造商和進(jìn)口商
制造商和進(jìn)口商投放到歐盟市場(chǎng)的數(shù)字產(chǎn)品必須符合法案規(guī)定的基本網(wǎng)絡(luò)安全要求,以確保相關(guān)產(chǎn)品具備適當(dāng)?shù)木W(wǎng)絡(luò)安全水平,且沒(méi)有可被利用的漏洞。制造商是指開(kāi)發(fā)或制造數(shù)字產(chǎn)品,或以其名義或商標(biāo)設(shè)計(jì)、開(kāi)發(fā)、制造和銷售這些產(chǎn)品的任何主體。進(jìn)口商是指在歐盟設(shè)立,將數(shù)字產(chǎn)品投放到歐盟市場(chǎng),并且該數(shù)字產(chǎn)品帶有在歐盟以外設(shè)立的自然人或法人名稱或商標(biāo)的自然人或法人。對(duì)制造商和進(jìn)口商的總體要求包括:如果進(jìn)口商和分銷商發(fā)現(xiàn)數(shù)字產(chǎn)品存在漏洞,應(yīng)立即通知制造商;如果產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn),則需要立即通知產(chǎn)品銷售地所在成員國(guó)的市場(chǎng)監(jiān)督機(jī)構(gòu);進(jìn)口商和分銷商需要確保數(shù)字產(chǎn)品已附有適當(dāng)?shù)囊子诶斫獾恼f(shuō)明和信息,以確保用戶安全使用;當(dāng)進(jìn)口商或分銷商發(fā)現(xiàn)數(shù)字產(chǎn)品的制造商無(wú)法遵守《網(wǎng)絡(luò)彈性法案》中規(guī)定的義務(wù)時(shí),應(yīng)通知相關(guān)市場(chǎng)監(jiān)督機(jī)構(gòu),并在可能的情況下通知產(chǎn)品用戶。
2.1 制造商具體義務(wù)
除了對(duì)制造商和進(jìn)口商的通用義務(wù)要求外,制造商還應(yīng)滿足一下要求:
第一,應(yīng)確保產(chǎn)品是按照《網(wǎng)絡(luò)彈性法案》中規(guī)定的基本網(wǎng)絡(luò)安全要求設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)的;產(chǎn)品具備基于風(fēng)險(xiǎn)的適當(dāng)?shù)木W(wǎng)絡(luò)安全水平;產(chǎn)品交付時(shí)沒(méi)有任何已知的可利用漏洞。
第二,為履行上述義務(wù),制造商應(yīng)對(duì)與其產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,并在產(chǎn)品的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、交付和維護(hù)過(guò)程中考慮其結(jié)果,從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn),防止發(fā)生安全事故并盡量減少其影響,包括對(duì)用戶健康和安全的影響。此外,制造商在集成來(lái)自第三方的組件時(shí)必須盡職盡責(zé),以確保這些組件不會(huì)危及產(chǎn)品的安全性。
第三,必須以與性質(zhì)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相稱的方式系統(tǒng)地記錄相關(guān)的網(wǎng)絡(luò)安全事項(xiàng)。
第四,產(chǎn)品投放歐盟市場(chǎng)時(shí),技術(shù)文檔中必須包含網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。
第五,制造商必須確保產(chǎn)品的漏洞在預(yù)期的產(chǎn)品生命周期內(nèi)或從投放市場(chǎng)算起的五年內(nèi)(以較短者為準(zhǔn))得到有效處理。
第六,在將產(chǎn)品投放市場(chǎng)之前,制造商必須起草技術(shù)文檔,該文檔必須包含所有相關(guān)數(shù)據(jù)并且必須不斷更新;進(jìn)行產(chǎn)品質(zhì)量評(píng)估;確保產(chǎn)品滿足歐盟符合性聲明,并為產(chǎn)品張貼CE標(biāo)志;產(chǎn)品隨附清晰、易懂、可理解和易讀的信息和說(shuō)明,以確保用戶安全地安裝、操作和使用。
第七,制造商需要制定適當(dāng)?shù)恼吆统绦蛞蕴幚砗托迯?fù)潛在的漏洞。
第八,制造商還可以選擇任命一名授權(quán)的歐盟代表,以履行制造商的某些義務(wù)。第九,制造商負(fù)有報(bào)告義務(wù),如果產(chǎn)品中包含任何被活躍利用的漏洞或任何事件對(duì)產(chǎn)品的安全性產(chǎn)生影響,制造商需要在發(fā)現(xiàn)上述情況后的24小時(shí)內(nèi),立即向歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)(European Union Agency for Cybersecurity,ENISA)報(bào)告此情況,不得無(wú)故拖延。
此外,在識(shí)別組件中的漏洞后,制造商需要將漏洞報(bào)告給維護(hù)組件的個(gè)人或?qū)嶓w。制造商的義務(wù)適用于其他主體,如果自然人或法人對(duì)產(chǎn)品進(jìn)行重大修改,則應(yīng)將其視為《網(wǎng)絡(luò)彈性法案》規(guī)定的制造商,并承擔(dān)制造商的義務(wù)。如果進(jìn)口商或分銷商以其名稱或商標(biāo)將數(shù)字產(chǎn)品投放到歐盟市場(chǎng),則應(yīng)被視為《網(wǎng)絡(luò)彈性法案》中的制造商,并受制造商義務(wù)的約束。
2.2 進(jìn)口商具體義務(wù)
除上述對(duì)制造商和進(jìn)口商通用性義務(wù)要求外,進(jìn)口商還應(yīng)履行以下具體義務(wù):
第一,在將產(chǎn)品投放市場(chǎng)之前,進(jìn)口商必須確保:制造商已進(jìn)行產(chǎn)品質(zhì)量評(píng)估;制造商已起草技術(shù)文件;產(chǎn)品帶有CE標(biāo)志;產(chǎn)品附有清晰、易懂、可理解和易讀的信息和說(shuō)明,以確保用戶安全地安裝、操作和使用。
第二,進(jìn)口商不得將他們認(rèn)為不符合《網(wǎng)絡(luò)彈性法案》規(guī)定的基本網(wǎng)絡(luò)安全要求的產(chǎn)品投放市場(chǎng)。
第三,進(jìn)口商必須在數(shù)字產(chǎn)品的包裝或產(chǎn)品隨附文件中標(biāo)明其名稱、注冊(cè)商號(hào)或注冊(cè)商標(biāo)、郵政地址和可以聯(lián)系到他們的電子郵件地址。聯(lián)系方式應(yīng)使用用戶和市場(chǎng)監(jiān)督機(jī)構(gòu)易于理解的語(yǔ)言。
第四,在數(shù)字產(chǎn)品投放市場(chǎng)后的十年內(nèi),進(jìn)口商必須保留一份歐盟符合性聲明的副本,以供市場(chǎng)監(jiān)督機(jī)構(gòu)使用。
3、經(jīng)銷商
經(jīng)銷商是供應(yīng)鏈中除制造商或分銷商之外的,向歐盟市場(chǎng)提供數(shù)字產(chǎn)品的任何自然人或法人。在將數(shù)字產(chǎn)品投放到市場(chǎng)上時(shí),經(jīng)銷商必須根據(jù)《網(wǎng)絡(luò)彈性法案》的要求謹(jǐn)慎行事。在銷售產(chǎn)品之前,經(jīng)銷商需要確保產(chǎn)品帶有CE標(biāo)志、制造商已隨附信息和說(shuō)明以及歐盟符合性聲明,并確保進(jìn)口商已在產(chǎn)品或其包裝上標(biāo)明其名稱、注冊(cè)商號(hào)或注冊(cè)商標(biāo)以及聯(lián)系地址。
三、《網(wǎng)絡(luò)彈性法案》發(fā)揮的作用
歐盟將網(wǎng)絡(luò)安全的范圍擴(kuò)大到整個(gè)產(chǎn)業(yè)鏈。隨著軟件產(chǎn)業(yè)的快速發(fā)展,軟件產(chǎn)業(yè)鏈也越發(fā)復(fù)雜多元,復(fù)雜的軟件產(chǎn)業(yè)鏈會(huì)引入一系列的安全問(wèn)題,導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。近年來(lái),針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì),造成的危害也越來(lái)越嚴(yán)重。而歐盟的《網(wǎng)絡(luò)彈性法案》更是將與之配套的硬件產(chǎn)業(yè)鏈也囊取其中,涵蓋了市場(chǎng)上所有含有數(shù)字元素的產(chǎn)品。
歐盟委員會(huì)意識(shí)到,只有整個(gè)產(chǎn)業(yè)鏈供應(yīng)鏈的所有組件都安全時(shí),整個(gè)產(chǎn)業(yè)鏈供應(yīng)鏈的網(wǎng)絡(luò)安全才能得到保證。歐盟在《網(wǎng)絡(luò)彈性法案》也明確提出為了便于進(jìn)行脆弱性分析,制造商應(yīng)使用數(shù)字元素識(shí)別和記錄產(chǎn)品中包含的組件,包括起草軟件材料清單。軟件材料清單可以為制造、購(gòu)買和操作軟件的人提供信息,以增強(qiáng)他們對(duì)供應(yīng)鏈的理解,這有多種好處,最明顯的是,它幫助制造商和用戶跟蹤已知的新出現(xiàn)的漏洞和風(fēng)險(xiǎn)。
與之對(duì)應(yīng)的,美國(guó)商務(wù)部下屬的國(guó)家電信和信息管理局(NTIA)在研究SBOM項(xiàng)目的范圍時(shí)提出,“應(yīng)考慮所有使用或生產(chǎn)軟件的行業(yè),包括汽車、金融、醫(yī)療保健、運(yùn)營(yíng)技術(shù)(OT)和傳統(tǒng) IT。盡管該項(xiàng)目的重點(diǎn)是軟件而非硬件,但軟件本身是不會(huì)運(yùn)行的。一個(gè)軟件系統(tǒng)不僅需要傳統(tǒng)的計(jì)算硬件(如CPU、內(nèi)存、磁盤(pán)、網(wǎng)絡(luò)等),也可能包括使設(shè)備實(shí)際運(yùn)作的功能硬件,如執(zhí)行器和傳感器”。同樣是涵蓋了軟硬件的全部產(chǎn)業(yè)鏈供應(yīng)鏈。
四、總結(jié)
由此可以看出歐盟的《網(wǎng)絡(luò)彈性法案》對(duì)具有數(shù)字元素和相應(yīng)嵌入式軟件的有形產(chǎn)品進(jìn)行了規(guī)制,適用的經(jīng)濟(jì)經(jīng)營(yíng)者在范圍上實(shí)現(xiàn)了對(duì)產(chǎn)業(yè)鏈的全覆蓋,包括AI以及具有該法規(guī)含義內(nèi)數(shù)字元件的產(chǎn)品的機(jī)械產(chǎn)品,從而保障產(chǎn)業(yè)鏈供應(yīng)鏈的整體安全性提升。
對(duì)于我國(guó)來(lái)看,著力提升產(chǎn)業(yè)鏈供應(yīng)鏈安全水平是構(gòu)建新發(fā)展格局和推動(dòng)高質(zhì)量發(fā)展的主要內(nèi)容,也是健全國(guó)家安全體系和增強(qiáng)維護(hù)國(guó)家安全能力的重要組成。結(jié)合歐盟以及美國(guó)最新頒布的政策法規(guī),建立最小物料清單可能是一個(gè)值得借鑒與參考的方法,由此可以提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和產(chǎn)品安全水平,對(duì)于維護(hù)我國(guó)網(wǎng)絡(luò)安全及規(guī)范相關(guān)市場(chǎng)主體行為,實(shí)現(xiàn)長(zhǎng)期穩(wěn)定發(fā)展,應(yīng)對(duì)復(fù)雜國(guó)際形勢(shì)有著重要意義。
關(guān)鍵詞: