遵守網路安全法規的最佳方式

歐盟(EU)無線電設備指令(RED)網路安全要求將於2024年8月1日成為強制性要求。隨著網路安全現在已成為全球議題，製造商如何才能有效證明產品的合規性？

挑戰

物聯網（IoT）設備的全球市場正在增長。市場價值估計將由2020年的444.6億美元，在2028年成長到1538億美元 — 年增長率為16.69%。這趨勢來自全球積極以物聯網來簡化和優化職場與生活因而驅動。增長的主要關鍵領域是居家智慧化、消費穿戴裝置、消費電子產品、醫療保健和汽車行業。

然而我們對物聯網的依賴也帶來了一個問題：安全性。2021年的一項研究發現，智能家居每週會經歷超過12,000次駭客攻擊或未知掃描攻擊。威脅來自世界各地，因此幾乎不可能從源頭上進行立法。因此，防範網路攻擊需要關注設備功能。

網路安全現在是消費者、企業和政府的主要關注點。物聯網設備製造商要想在持續成長的市場中取得成功，就需要積極於改進和證明產品抵禦網路攻擊的能力。

全球合規

與所有行業一樣，網路安全和監管監督並沒有通用的全球規範。這造成外銷各海外市場的製造商在遵守合規流程時的挑戰。要進入歐盟（EU）市場，製造商需要考慮幾項法規：包括基本資料保護法（GDPR）、歐洲芯片法案以及現在的無線電設備指令RED新要求。另外常見的各國物聯資安標準還包括有：

• 美國：《2020年物聯網網路安全法》、《加州消費者隱私法》、《兒童在線隱私保護法》和加州法案SB 327和AB 1906
• 印度：物聯網安全指南
• 新加坡／芬蘭：網路安全標籤
• 日本：基本網路安全法和物理網路安全框架
• 巴西：一般數據保護法

什麼是無線電設備指令Radio Equipment Directive？

歐盟無線電設備指令2014/53/EU於2016年6月13日生效。它適用於在歐盟市場上的所有無線電設備，並規範了相關健康和安全標準（第3.1a條）、電磁相容要求（第3.1b條）與無線電射頻使用（第3.2條）。2022年1月12日，授權條例2022/30/EU在歐盟官方公報上發布，以加強歐洲對無線電設備的網路安全要求（第3.3條）。第3.3條的規定包括：

• 3.3d：確保網路保護
• 3.3e：確保保護個人數據和隱私的保障措施
• 3.3f：確保免受欺詐

這些要求適用於範圍廣泛的產品，包括物聯網gateways、智能家居裝置、聯網家電設備（洗衣機、冰箱等）家庭警報系統、穿戴健康設備、兒童玩具、嬰兒監視器和智能家庭娛樂系統。

對於消費者和製造商而言，RED第3.3條意味著網路安全功能不再是選擇性的，而是強制性的。

合規性最佳實踐

製造商證明產品符合相關標準，才能表示產品在網路安全規定方面的實踐。例如，在美國這代表符合NIST8259中的要求。

歐洲目前尚無呼應RED第3.3d-f規定的統一標準，但歐洲標準組織（ESO）目前正在製定適用的標準，並可能在2024年8月截止期的10個月前就完成。從歐盟和ESO的演示和研討會中還可以推測，統一標準將基於現有的物聯網網路安全標準ETSI EN303 645和ETSI TS103 701。

SGS解決方案

SGS網路安全產品驗證標誌（SGS Cybersecurity Product Certification Mark）能向消費者證明製造商已在設備網路安全方面做了完善的準備。它可以應用於廣泛的物聯網產品，包括智慧喇叭、相機、印表機、家用電器與照明，以及醫療、汽車和工業設備。評估過程包括：

1. 自我聲明：針對產品特性的基本檢查
2. 漏洞掃描：基礎必要性漏洞評估
3. 一致性測試：依定義的標準進行調查
4. 合規性：全面評估和驗證報告
5. 深入測試：比驗證更進一步的評估

SGS專家能幫助製造商應對全球的網路安全監管環境，確保聯網產品能符合目標市場的相關法規。一旦產品被證明符合必要資安標準，廠商可將SGS網路安全標誌引刷在產品或包裝上。

SGS網路安全產品標誌讓製造商建立產品可信度，在市場上的增加競爭優勢。

如需更多信息，請聯繫：

Kevin Yen < Kelvin.Yen@sgs.com >
全球網路安全業務發展經理, SGS互聯產品事業群
電話：+886 2 2299 3279 #1306