歐盟網絡與信息安全局被指定為網絡安全評審機構
責編:gltian |2019-07-03 16:16:31網絡安全在社會管理中的作用日趨明顯,為此,歐盟將歐盟網絡與信息安全局 (ENISA) 指定為歐盟最高網絡安全常規機構,作為歐盟產品網絡安全漏洞評估的關鍵評審,旨在為歐盟成員國網絡安全威脅響應起到居中協調作用。
ENISA 的臨時身份原本在 2013 年續期后將延續到 2020 年,但新通過的《網絡安全法案》提前終結了這一尷尬地位。
網絡攻擊對民主和經濟的危害比槍炮更甚,而我們對此準備不足。所以我們提起了 ENISA 議程。
該機構將監管新法案中有關歐盟產品、過程和服務認證的規定實施情況,幫助改善物聯網設備安全。ENISA 此后亦將成為歐盟常設機構。
ENISA 一直以來都被認為是不具備執法權的網絡安全智庫,但 5 月新規讓歐盟理事會得以向非歐盟的網絡攻擊者施加制裁。個人或團體都有可能面臨制裁,包括禁止前往歐盟國家、資產凍結、阻止歐盟資金流向疑犯等。
歐盟及 ENISA 職能的升級與固化,是歐盟對惡意網絡行動聯合外交響應策略的一部分,旨在集合所有歐盟成員國的力量震懾潛在網絡攻擊者。
近幾年來,WannaCry、NotPetya 等大型勒索軟件攻擊令歐盟公司企業和組織機構損失慘重,暴露出歐盟機構在面對重大網絡攻擊的束手無策、缺乏準備。英國國家醫療服務體系 (NHS) 為 WannaCry 支付了 9,200 萬英鎊的賬單,而 NotPetya 令歐洲公司企業巨虧 10 億美元,僅丹麥航運巨頭馬士基集團就損失了 3 億多美元。最近,挪威鋁業 Norsk Hydro 也因勒索軟件攻擊遭遇了數千萬美元損失。
ENIST 將聚焦安全及 IT 產品可能面臨的風險。其具體審查的方面包括產品分類、網絡安全標準或技術規范,以及安全評估是獨立執行還是機構本身自行進行。
所有歐盟成員國均承認該認證等級,期望該認證能便于跨國貿易和減少成本。
歐盟計劃引入的認證體系將產品風險分為三級:基本風險、實質性風險和高風險。