【認證內容介紹】

GDPR-ETSI/EN 303645，IEC 62443-4-2，SB 327，NISTIR 8259, CCPA物聯網信息安全認證歡迎聯系。
關于網絡安全認證，客戶最通常詢問的第一個問題是："這是強制要求認證的嗎？

簡單的回答是"是的"。 但和所有的認證一樣，都有具體針對性。而且具體的要求還是快速變化的。 讓我們來概覽一下: 當前哪些國家有強制要求網絡安全認證；接下來，又會有哪些國家會實行強制認證方案？

很多人習慣把沒有強制認證方案解讀成沒有強制需要符合的要求，當然，事情并不是這樣的。 以歐盟LVD 低電壓指令為例，沒有強制的認證要求，但是產品仍必須符合指令以及指令當中所列的對應標準。 

我們來看看不同的地區對網絡安全的要求。
微信:changqingshu32426

歐洲
GDPR - 通用數據保護法規 強制性
RED- 無線設備指令 強制性，但...
EU 網絡安全法   強制性，但...
UK IoT 法令 很快將強制
芬蘭網絡安全標簽 自愿性
 

GDPR – 通用數據保護法規

雖然不被認為是典型的"網絡安全"，但信息安全是網絡安全的重要組成部分。對于個人信息的保護，網絡安全是先決條件，而網絡安全標準，如歐洲消費者物聯網規范，規定了一套關于處理各類個人信息的要求。使用不符合這些要求的產品將危及您的GDPR遵從性。

RED - 無線設備指令

同樣，這個指令并不是很多人認為的網絡安全指令，但是RED指令第3章包含了保護網絡和個人信息的條款。雖然這些條款尚未生效，但相關的工作已經正在進行中。

EU 網絡安全法

該法案描述了產品、服務和過程控制的認證方案。產品認證方案草案已于2020年7月發布，最終版本預計將于2021年第二季度發布。該認證最初將是自愿的，但起要求并非自愿的。對于消費級物聯網產品，預期標準是ETSI/EN 303 645，和IEC 62443-4-2，Nemko已經在使用該標準評估網絡安全。

UK

英國正在實施一項強制性網絡安全法規，該法規適用于所有進入英國市的物聯網消費產品。產品必須通過立法規定的安全要求或指定的標準，確保滿足指定的安全措施。最近發布的EN 303 645就是"指定標準清單"上的其中一個標準，預計該標準清單將隨著時間的推移而增加，以幫助企業簡化他們的工作。具有諷刺意味的是，考慮到英國脫歐，英國的監管比《歐盟網絡安全法》更符合典型的指令。英國的法規有兩種替代途徑——要么執行立法中詳細規定的安全要求，要么滿足列出的標準要求。由于英國在ETSI/EN 303 645標準的發展中發揮了重要作用，因此特別提到了該標準。此外，執法機構將有權進行調查，并采取措施確保法規符合性。

 芬蘭

以Traficom為代表的芬蘭當局推出了一項物聯網消費品標簽計劃。這樣做既是為了展示產品安全性，也為了促進提高消費者的普遍意識。標簽方案使用ETSI/EN 303 645的方案，并添加了一些內容。Nemko目前正在完成一個試點項目，讓Traficom接受Nemko物聯網網絡認證方案作為芬蘭網絡安全標簽的基礎。

美國 NISTIR 8259
物聯網網絡安全改進法案 很快將強制
加州法令 強制性SB-327
俄勒岡州法令 強制性
 

物聯網網絡安全改進法案

2020年12月，美國總統簽署了物聯網網絡安全改進法案，對聯邦機構使用的物聯網設備提出了要求。由于聯邦機構基本上可以使用任何物聯網設備，這將成為美國事實上的要求。該法規目前只等待NIST(國家標準與技術研究所)最終確定標準和指導方針。這意味著我們可以期待美國將會實施類似現在產品安全要求的網絡安全要求。

加州法案

作為全球第五大經濟體，美國加州于2020年1月1日推出了聯網消費品的要求。使用ETSI/EN 303 645標準的Nemko網絡安全認證將涵蓋該法的要求。

俄勒岡州

俄勒岡州也于2020年1月1日對物聯網產品提出了類似要求。就像加州的法律一樣，Nemko的網絡安全認證方案也將涵蓋這些要求。

亞洲
新加坡 強制性
中國 強制性
 

新加坡

新加坡信息媒體發展局(IMDA)于2021年4月12日對所有新的住宅網關/路由器提出強制性要求。從2021年10月12日起，市場上的所有此類產品必須符合IMDA TS RG_SEC 的要求。之所以選擇這些產品，是因為它們在網絡信息安全方面特別重要，這些設備是直接連接到互聯網的第一道防線。這類產品已經成為幾次全球惡意攻擊的目標，例如臭名昭著的Mirai蠕蟲事件。

新加坡的這一方案具體要求與歐洲標準ETSI/EN 303 645相似。

中國

依據《網絡安全法》第二十三條的規定，對網絡關鍵設備和網絡安全專用產品需依據國家標準強制性要求開展安全認證。對應的實施規則是CNCA-CCIS-2018。 具體在范圍內的產品可查閱實施規則附件1。

制造商該怎么做?
不同制造商對網絡安全的關注和知識差異很大，但絕大多數都不符合當今的網絡安全標準。這些標準目前雖然還不是所有國家都必須遵守的，但是在目前正在設計的產品的生命周期內，大多數市場都需要這些標準。

根據制造商的不同成熟度，可以從不同的切入點開始網絡安全標準的結構化工作。那些新進入該領域的制造商可以選擇先對標準進行學習和了解。

更成熟的制造商可以選擇直接去評估他們的產品是否符合標準。在進行這樣的評估時，邀請像Nemko這樣的標準專家參與將是有益的。這樣既有知識淵博、經驗豐富的專家根據標準進行評估，也要能夠向客戶表明評估是由獨立的第三方機構完成的，確保了公正性。
微信:changqingshu32426

更新時間：2025/1/20 11:26:11