网络安全在社会管理中的作用日趋明显,为此,欧盟将欧盟网络与信息安全局 (ENISA) 指定为欧盟最高网络安全常规机构,作为欧盟产品网络安全漏洞评估的关键评审,旨在为欧盟成员国网络安全威胁响应起到居中协调作用。
ENISA 的临时身份原本在 2013 年续期后将延续到 2020 年,但新通过的《网络安全法案》提前终结了这一尴尬地位。
网络攻击对民主和经济的危害比枪炮更甚,而我们对此准备不足。所以我们提起了 ENISA 议程。
该机构将监管新法案中有关欧盟产品、过程和服务认证的规定实施情况,帮助改善物联网设备安全。ENISA 此后亦将成为欧盟常设机构。
ENISA 一直以来都被认为是不具备执法权的网络安全智库,但 5 月新规让欧盟理事会得以向非欧盟的网络攻击者施加制裁。个人或团体都有可能面临制裁,包括禁止前往欧盟国家、资产冻结、阻止欧盟资金流向疑犯等。
欧盟及 ENISA 职能的升级与固化,是欧盟对恶意网络行动联合外交响应策略的一部分,旨在集合所有欧盟成员国的力量震慑潜在网络攻击者。
近几年来,WannaCry、NotPetya 等大型勒索软件攻击令欧盟公司企业和组织机构损失惨重,暴露出欧盟机构在面对重大网络攻击的束手无策、缺乏准备。英国国家医疗服务体系 (NHS) 为 WannaCry 支付了 9,200 万英镑的账单,而 NotPetya 令欧洲公司企业巨亏 10 亿美元,仅丹麦航运巨头马士基集团就损失了 3 亿多美元。最近,挪威铝业 Norsk Hydro 也因勒索软件攻击遭遇了数千万美元损失。
ENIST 将聚焦安全及 IT 产品可能面临的风险。其具体审查的方面包括产品分类、网络安全标准或技术规范,以及安全评估是独立执行还是机构本身自行进行。
所有欧盟成员国均承认该认证等级,期望该认证能便于跨国贸易和减少成本。
欧盟计划引入的认证体系将产品风险分为三级:基本风险、实质性风险和高风险。