針對歐盟網路安全法2.0,歐洲各公協會提六大訴求
歐洲各公協會對於網路安全法2.0之訴求與關切
歐盟前於本年1月20日公告網路安全法修正草案 (Cybersecurity Act 2.0),歐洲許多重要公協會對此發表訴求及關切,包括代表科技新創企業的競爭科技協會 ACT(Association for Competitive Technology,ACT)、美國商會 (Amcham) 、歐洲電腦及通訊產業協會 (CCIA Europe)、DIGITALEUROPE、德國工業總會(BDI)、歐洲電子通訊標準機構(ETSI)、全球行動通訊協會(GSMA)、Connect Europe、Orgalim等,謹摘陳各公協會共同關切重點如下:
1.供應鏈風險評估與歐洲網路安全認證的資格標準應脫鉤分開處理,且網路安全認證制度應採自願性 (voluntary),因為認證的法規遵循成本過高(尤其對中小企業),且對提升歐洲網路韌性(cyber-resilience)的效果有限。
2.證制度應與國際標準、第三國標準調和: 應採以風險為基礎、並與國際公認標準一致的認證制度,而非制定僅適用於歐盟的特殊要求。相互承認來自可信賴第三國所核發的同等效力認證,以避免中小企業被迫須針對不同市場的不同標 準,對同一項產品重複進行多次認證。
3.網路安全的認證標準,應只考慮技術性、安全性,不應以供應商國籍、註冊地或所有權結構作為取得認證資格 的條件,不應有任何政治、地緣因素考量。
4.風險評估: 風險評估應以證據為基礎且具透明性。 認定供應鏈風險應該依據客觀證據,且認定供應商為高風險(high risk)之程序、標準需透明、可預測,認定供應商為高風險前應先徵詢其意見,使其有機 會提出改善、降低風險之措施。
5.提供調適期: 企業為提升供應鏈安全而汰換資通訊(ICT)零組件可 能需要數年時間,在某些情況下甚至需要淘汰整個 系統。 應提供足夠的法規調適期(Transition period),且已經上市、開始使用的終端產品不應溯及既往適用相關規定。若產品已經採用受法規規範的零組件,不應被要求回收。
6.網路安全法2.0並未如預期的簡化法規、減輕企業負擔, 反而重複要求企業進行其他法規已經有的稽核、報告、 認證等程序(例如網路韌性法案、網路與資訊系統安全指 令等),故應簡化為只需要遵循一套規範。(資料來源:經濟部國際貿易署)
資料來源-MoneyDJ理財網