欧盟立法者提出了一套适用于智能设备的新产品规则,旨在迫使与互联网连接的硬件(如"智能"洗衣机或联网玩具)的制造商对设备安全给予充分关注。欧盟委员会今天表示,拟议的《欧盟网络复原力法案》将对在整个集团内销售的具有"数字元素"的产品提出强制性网络安全要求,这些要求适用于产品的整个生命周期--这意味着设备制造商将需要提供持续的安全支持和更新,以修补新出现的漏洞。
该法规草案还重点关注智能设备制造商向消费者传达"充分和准确的信息"--以确保购买者能够在购买时掌握安全注意事项,并在购买后安全地设置设备。
欧盟委员会提议对不遵守"基本"网络安全要求的行为进行处罚,处罚金额最高为1500万欧元或全球年营业额的2.5%,其他违反法规义务的行为的最高处罚金额为1000万欧元或营业额的2%。
欧盟行政部门表示,拟议的法规将适用于所有"直接或间接连接到另一个设备或网络"的产品,但在欧盟现有规则中已经规定了网络安全要求的产品有一些例外,如医疗设备、航空和汽车。
智能设备安全的泛欧盟规则
欧盟委员会在对拟议措施的总结中说,这些措施是基于2008年更新的欧盟产品立法框架,它们将规定:
(a) 具有数字元素的产品投放市场的规则,以确保其网络安全。
(b) 设计、开发和生产具有数字元素的产品的基本要求,以及经营者与这些产品有关的义务。
(c) 制造商为确保有数字元素的产品在整个生命周期内的网络安全而实施的漏洞处理程序的基本要求,以及经济运营商与这些程序有关的义务,制造商还必须报告被积极利用的漏洞和事件。
(d) 市场监督和执法规则。
"新规则将重新平衡制造商的责任,他们必须确保在欧盟市场上提供的带有数字元素的产品符合安全要求,"欧委会的一份新闻稿中写道。"因此,它们将有利于消费者和公民,以及使用数字产品的企业,提高安全性能的透明度,促进对数字元素产品的信任,并确保更好地保护他们的基本权利,如隐私和数据保护。"
委员会关于该倡议的问答进一步规定,制造商将经历"合格评估过程,以证明与产品有关的特定要求是否已经得到满足"。它指出,这可以通过自我评估或第三方符合性评估来完成,"取决于有关产品的重要性"。
在证明符合适用要求的情况下,设备制造商将能够贴上欧盟的CE标志,表明这些数字产品符合产品安全法规。
违规行为将由成员国指定的市场监督机构处理,该机构将负责执法,拟议的新立法将规定其不仅有权命令停止违规行为,还有权通过禁止产品销售或以其他方式限制其市场供应来"消除风险"。主管部门还可以命令撤销销售合同或召回侵权产品。而向监管机构和监督机构提供不正确、不完整或误导性的信息将面临最高500万欧元的罚款或营业额的1%。
委员会负责数字战略的执行副总裁玛格丽特·维斯塔格在一份声明中评论说:"我们应该对我们在单一市场购买的产品感到安全。就像我们可以信任带有CE标志的玩具或冰箱一样,《网络弹性法》将确保我们购买的联网物品和软件符合强有力的网络安全保障措施。它将把责任放在该有的地方,放在那些将产品投放市场的人身上。"
多年来,智能设备一直是网络安全问题的温床,尽管早些时候已经有立法行动来堵塞明显的安全漏洞,比如2018年加利福尼亚州的一项法律禁止制造商在设备中设置容易猜测的默认密码。
英国多年来也一直在为联网设备制定"设计安全"法 - 早在2019年就公布了草案(尽管这一捆绑了电信基础设施安全条款的产品安全法案仍在英国议会中进行审议)。
尽管在智能设备安全方面不是第一个,但欧盟希望其新生的方法将成为一个国际参考点,委员会的新闻稿表明。"基于《网络复原力法案》的欧盟标准将促进其实施,并将成为欧盟网络安全行业在全球市场上的资产。"
然而,在成为欧盟法律之前,该提案仍有相当长的路要走,因为欧洲议会和理事会将需要审查该草案并可能寻求修改它。
委员会还提议,一旦法规通过,设备制造商和欧盟成员国将有两年的时间来适应新规则的全面实施。因此,该法规在2025年之前都可能不会有什么影响。
也就是说,制造商对"积极利用的漏洞和事件"的报告义务有一个更短的时间框架--这将在法规生效之日起一年内适用,因为委员会希望这部分更容易实施。
(举报)