登录
 机构网站
  1. 首页
  2. 情报产品
  3. 快讯详情

《欧盟针对物联网产品安全法案即将实施,中国出海企业面临新要求》

  • 来源专题:智能制造
  • 编译者: icad
  • 发布时间:2024-04-17
  •     近日,欧洲议会投票通过了《网络安全弹性法案(CRA)》,以保护欧盟的所有数字产品免受网络威胁。其中,物联网产品是该法案适用范围“数字产品”的重要组成部分,未来该法案实施后,物联网产品将面临着新的要求。
        笔者近期围绕海外发达经济体针对物联网产品网络安全出台的一些法案和政策进行跟踪研究,包括美国物联网安全标签计划、日本物联网安全标签计划、欧盟《数据法案》、英国《产品安全和电信基础设施法案》以及新加坡、德国、芬兰等国开展的物联网安全标签计划,可以看出,对物联网产品安全采取统一的措施已成为共识,尤其是针对物联网安全基线形成全国统一规范非常重要 。《网络安全弹性法案》作为全球首个面对数字产品安全的专门法案,其中很多做法和思路值得参考。
        法案适用范围:物联网产品是典型.
        《网络安全弹性法案》旨在建立整个供应链的基准产品安全法规,涵盖从开发到报废的产品生命周期,该法案将适用于在欧盟境内销售的各种软件和互联产品。
        法案提出其适用于在欧盟市场上销售的“带有数字元素的产品”,这类产品无论原产地在哪里,也无论该产品是否免费提供,只要在欧盟市场上,都适用于该法案。
        法案对于“带有数字元素的产品”做了初步解释,即包括软件以及与其他设备或网络直接或间接连接的软硬件产品。 法案提出典型的产品包括独立软件以及物联网产品、操作系统或其他有形设备,如电视、笔记本电脑、婴儿监视器、智能家居等。
        法案也提出了一些不适用的范畴,例如,一些网站和云服务方案(如SaaS服务)如果不支持远程处理“带有数字元素的产品”或不是这些产品的功能,就不纳入法案的范畴。
        当然,法案适用于支持这些数字元素产品运行的远程数据处理解决方案,例如物联网产品的移动应用程序;同时,法案也适用于集成到数字元素产品中的软件和硬件组件。
    在商业活动之外开发的开源软件不在该法案的适用范围之内。法案指出,自由和开放源码的软件将受到宽松监管制度的约束。
        另外,法案也不适用于某些已经有部门立法的产品,例如医疗器械、机动车、海事和航空设备,也不适用于专门为国家安全或国防开发的数字产品。
        基本网络安全要求.
       《网络安全弹性法案》为制造商的数字产品制定了一套必须遵守的基本安全要求。这些要求旨在通过从一开始就解决关键的安全漏洞来最大限度地降低网络安全风险。基本的安全要求包括:
        默认安全配置: 产品必须带有默认安全配置,允许用户在必要时轻松将其重置为初始状态。
        防止未经授权的访问: 必须建立适当的控制机制,包括认证、身份或访问管理系统。
        加密: 无论是在静止状态还是在传输过程中,产品存储、传输或处理的数据必须通过加密进行保护,以保护其机密性。
        完整性: 产品存储、传输或处理的数据以及命令、程序和配置必须得到保护,以防未经用户授权的操纵或修改。
        数据最小化: 产品应仅收集和处理对其预期用途绝对必要的数据,尽量减少处理的个人或其他数据量。
        有效性: 基本功能必须能够抵御拒绝服务攻击。
        攻击面限制: 产品应设计有限的攻击面,最大限度地减少网络攻击的潜在切入点。
        漏洞管理: 必须建立机制,以便能够及时有效地修补漏洞,应对新出现的网络安全威胁。
        对制造商的要求.
        法案提出制造商必须开发、生产和销售具有与风险相适应的“基本网络安全要求”的产品。此外,制造商还必须建立流程和文件来验证其产品是否符合法案要求的。主要包括:
        1、产品安全要求
        网络安全风险评估: 制造商必须进行与产品相关的网络安全风险评估,且风险评估必须在支持期内更新,并在整个产品生命周期中予以考虑。
        漏洞管理: 产品必须在没有已知可利用漏洞的情况下在市场上提供,若发现漏洞必须立即为漏洞提供安全更新,并公开披露补救的漏洞。安全更新必须在至少10年或支持期的剩余时间内保持可用,以较长者为准,同时制造商必须记录其了解到的相关产品漏洞。
        支持期限: 支持期应符合预期使用时间,但必须至少为五年。用户在购买时必须能够明确了解支持期的结束时间,包括月份和年份。
        软件材料清单 : 制造商必须确定并记录产品组件和漏洞,包括起草至少包含产品主要依赖项的软件材料清单。
        测试: 制造商必须定期测试产品安全性。
        漏洞报告: 制造商必须在24小时内向其指定的欧盟成员国计算机安全事故响应小组(CISRT)报告任何被恶意行为者利用的产品漏洞。然后,制造商必须在72小时内提交一份总体跟进报告,并在缓解措施出台后14天内提交一份详细报告。除特殊情况外,这些漏洞报告将转发给产品上市所在成员国的其他安全事故响应小组和市场监管机构。同时,制造商还必须将事故通知其用户。
        协同漏洞披露: 制造商必须建立协调的漏洞披露政策,并为第三方提供联系地址以报告产品中的漏洞。当制造商发现产品软件或硬件组件中的漏洞时,必须向负责该组件的一方报告漏洞。
        2、证明产品一致性
        技术文档: 制造商必须创建和维护技术文件,以证明其产品符合法案的基本安全要求。技术文档必须在产品投放市场之前完成,并应在产品支持期间不断更新。
        符合性评估: 在将产品投放市场之前,制造商必须对产品进行符合性评估,以确保符合安全要求。法案对产品安全做了分级,主要包括:
        未分类或默认级别:这一大类包括大多数带有数字元素的产品,制造商可以自我评估是否符合安全要求。
    第一类和第二类(Classes I and II):该级别被认为是“重要”的数字产品,这些产品必须经过第三方合格评估,它们可以适用统一标准或统一网络安全认证计划。第一类和第二类产品具有网络安全相关功能,如果被破坏,其功能会带来重大负面影响风险。
        “关键”的数字产品:该类别包括被认为是基本服务关键依赖项的产品,如智能卡或具有安全元件的类似设备、智能计量系统以及用于高级安全目的的其他设备。
        数字产品完成符合性评估后,制造商必须起草一份符合性声明以补充技术文件,并将这些记录保存十年或支持期内(以较长者为准)。此外,数字产品必须具有CE标志,以表明产品在进入市场之前符合法案标准。这一要求可以视作强制性的安全标签计划。
        同时,法案还对进口商和分销商提出相关要求,例如包括对制造商的产品进行尽职调查、发现漏洞后及时通知制造商、向欧洲当局告知重大风险、保留记录以及售后责任等。
        对不合规行为的处罚.
        法案规定,对于未能遵守法案中提出的漏洞报告、网络事件报告或基本网络安全要求的公司,可能面临高达1500万欧元或其全球营业额2.5%的行政罚款,以较高者为准。
        未能遵守多项其他义务的公司,可能会被处以最高1000万欧元的行政罚款,或其全球营业额的2%,以较高者为准。
        同时,那些向执法机构或国家网络事件响应小组提供误导性信息可能导致500万欧元的罚款,或全球营业额的1%,以较高者为准。
        在某些情况下,欧盟成员国当局可以要求厂商从欧盟市场召回或撤出不合规产品。
        《网络安全弹性法案》实施日期之前,欧盟将制定统一标准,以更好地帮助制造商进行一致性评估。一旦生效,制造商、进口商和分销商将有三年时间适应新要求。中国是物联网产品的生产和出口大国,大量数字产品出口欧洲,相关生产厂商需要高度重视,提前学习《网络安全弹性法案》相关内容,做好应对。.
  • 原文来源:https://www.iot101.com/news/9302.html
184浏览量
原文链接
相关报告

  • 《欧洲46家龙头企业联名呼吁欧盟暂停实施AI法案》
    • 来源专题:新一代信息技术
    • 编译者:isticzz2022
    • 发布时间:2025-07-04
    •       7月3日,包括法国空客、Mistral,荷兰阿斯麦,德国汉莎航空、梅赛德斯-奔驰在内的46家欧洲顶级企业高管向欧盟发出联名信,要求重新评估其具有里程碑意义的人工智能法案。企业警告称,过快的监管节奏可能损害欧盟在全球人工智能竞赛中的领导能力。       欧盟全面的人工智能法规已于去年生效,但随着中美两国在AI领域的激烈竞争加剧,欧盟近期转向加强本土产业竞争力。企业高管在信中指责欧盟复杂的监管体系"使欧洲的AI雄心面临风险",认为这不仅危及欧洲领军企业的成长,更削弱了所有行业应对全球竞争所需的AI规模化部署能力。       这些首席执行官敦促欧盟委员会提出为期两年的暂停期,并进一步简化新规——当前针对通用人工智能模型(如OpenAI的ChatGPT)和高风险AI系统的实施细则仍未发布。按原计划,前者的合规义务将于2025年8月生效,后者则定于2026年8月实施。       值得注意的是,美国特朗普政府已多次批评该法案。今年2月,副总统JD·万斯曾谴责欧盟"过度监管"。欧盟方面表示,其法规采取基于风险的分级管理机制:对欧洲公民权利或健康构成的风险越高,系统保护个人免受伤害的责任就越大。       目前欧盟正加紧制定拖延已久的实施细则,为谷歌Gemini、Mistral的Le Chat等通用AI模型提供合规指引。有迹象表明该细则可能放宽要求,欧盟委员会承诺将在下月通用AI模型规则生效前正式发布。
    27浏览量
    原文链接

  • 《前5家中国蜂窝物联网模组企业出货量全球占比近70%,需关注一系列新的挑战》
    • 来源专题:宁夏重点产业科技信息服务
    • 编译者:刘 悦
    • 发布时间:2025-06-18
    • 前5家中国蜂窝物联网模组企业出货量全球占比近70%,需关注一系列新的挑战 作者 | 物联网智库 2025-06-16 市场研究机构Counterpoint Research每次更新全球蜂窝 物联网 模组市场的跟踪数据,都会引发业界高度关注,近日,Counterpoint更新了2025年第一季度市场数据,全球蜂窝物联网模组出货量同比增长16%,主要是由印度、中国和腊梅的强劲需求驱动的。出货量前五的企业均为中国企业,这五家企业出货量已占据全球总量的69%。过去几年,中国企业在全球蜂窝物联网模组市场中呈现出集中度的特点,似乎中国蜂窝物联网模组在全球“所向披靡”,但需要清晰认识到,该领域依然面临着突出的挑战,尤其是中国企业在海外拓展市场过程中需要深入关注一些核心问题。 中国企业依然拥有较高市场集中度 Counterpoint发布的2025第一季度数据显示,移远通信、中国移动、广和通、日海、利尔达这5家中国企业占据了全球蜂窝物联网模组前五位置,5家厂商出货量占全球出货量比例达到69%。 其中,移远通信依然保持第一的位置,而且借助其占全球出货量37%的比例,与其他厂商保持较大差距,第一季度移远出货量同比增长了17%,略高于全球平均增速;而中国移动在第一季度出货量实现了77%惊人的高速增长,使其从2024年第一季度略低于广和通的第三位置,跃居第二的位置,出货量占比也比广和通高2个百分点;广和通位居第三,第一季度出货量的增速为29%;第四位的日海增速则相对缓慢,仅为9%,远低于全球平均增速;利尔达后来居上,从之前排名靠后逐渐进入前五的阵营,第一季度出货量实现62%高速增长,其市场份额相比日海差距已不大,若后续增速能够延续,则很有可能在下季度上升至第四的位置。 回顾2024年第一季度,全球出货量前五的也是中国厂商,占比为61%,不过结构略有不同,有方科技在2024年第一季度出货量进入前五,2025年第一季度被利尔达超越。Counterpoint也披露2024年第一季度除了中国外海外市场蜂窝物联网模组出货情况,数据显示,移远、Telit、广和通、Semtech和锐凌无线5家企业市场份额超过68%,也呈现出显著的高集中度特点。海外模组厂商Telit和Semtech占比近18%,彼时广和通还未出售锐凌无线,因此可以说海外市场超过50%的份额由中国企业提供。 Counterpoint公开披露的数据更多聚焦于出货量,而蜂窝物联网模组收入呈现什么特点?笔者搜集了总部位于瑞典的一家物联网研究机构Berg Insight发布的数据,该机构近期更新了一份2024年蜂窝物联网报告,数据显示,2024年前5家厂商收入占全球蜂窝物联网模组收入比例达到72%,收入排名前5的厂商分别为移远、广和通、Telit、锐凌无线和美格智能。虽然没有2025第一季度的详细数据,但在很大程度上能够反映收入情况的现状。其他收入靠前的主要供应商包括日海、中国移动、Semtech、Kontron、有方科技u-blox、Murata、Nordic、Cavli Wireless和利尔达。可以看出,海外蜂窝物联网模组厂商的收入排名相对出货量排名有一定优势。 从全球视角来看,不论是出货量,还是收入,蜂窝物联网模组市场已成为一个高度集中化的领域,头部机构占据绝大多数份额。这一格局是在多年竞争中形成的,预计未来几年依然保持类似的结构。 中国蜂窝物联网模组企业也面临一系列挑战 少数厂商集中化的格局在未来几年中会保持相对稳定的态势,但随着环境的变化,这样的格局并非一成不变。对于已经在全球市场中站稳脚跟的中国企业来说,依然面临着一系列挑战,让中国企业并不能在蜂窝物联网领域唱“独角戏”。 一是地缘政治因素带来出海的挑战 因为众所周知的大国博弈因素,海外多个国家和地区将网络安全作为一个屡试不爽的“武器”,以影响国家安全的名义,对中国的蜂窝物联网模组企业提出挑战,给中国企业出海蒙上一层阴影。 2023年初,美国一家风险顾问公司OODA Loop向英国政府出示的一份参考报告,认为中国蜂窝物联网模组存在安全隐患,主要来源于物联网模组会收集数据和窃取隐私信息,并建议英国政府应尽快出台停止和更换中国蜂窝物联网模组的政策,并设定时间期限。 2023年8月,美国众议院“美中战略竞争特别委员会”两位议员对来自中国的蜂窝物联网模组发出“安全警告”,提出采用中国蜂窝模组的联网设备可能会被中国远程访问和控制,且直接点名移远通信和广和通这两家中国最大的蜂窝物联网模组厂商,并对FCC提出严格审查和进一步采取措施的建议。此后,FCC也给出响应,并承认了这一观点。 印度作为蜂窝物联网模组需求高速增长的另一市场,在2024年12月宣布正在制定一个新的监管框架,要求物联网模组的采购仅通过“可信来源”,并直指对中国原产地的物联网配件在印度广泛采用的担忧。这一监管框架的制定,也是类似追随美英对中国蜂窝物联网模组进行无证据指控。 一家全球化虚拟运营商1NCE曾发布一份报告,分析中国蜂窝物联网模组市场在美国的情况。这家公司指出,其美国客户使用的所有物联网模组中,有31%来自中国厂商,相关比例大致如下: 厂商 在美国客户的比例 移远通信 19.64% 芯讯通 9.27% 美格智能 0.88% 广和通 0.73% 有方科技 0.15% 移柯通信 0.15% 随着美国对于中国物联网企业态度不断变化,预计未来蜂窝物联网厂商在美国的渗透率会持续下降。未来,若美国盟友积极跟进,则地缘政治对于蜂窝物联网模组企业出海会造成显著影响,而一带一路、东南亚等国家和地区可能成为重点目标市场。 二是技术快速演进对产品规划的挑战 信息通信技术是蜂窝物联网模组企业进行产品规划的一个重要依据,而技术快速演进让企业面临着主要产品线的决策。多年以来,模组是一个高度竞争、低毛利率的领域,业界高度关注出货量,规模经济比较重要,对某一技术的坚定投入的同时,存在着巨额的“机会成本”,即要放弃其他可能的方向。 近年来,随着国内外需求的明确,LTE Cat.1系列成为大部分蜂窝物联网模组厂商出货的主力,NB-IoT也有相当大的规模。然而,此前多家厂商也面临着技术演进带来的产品规划挑战,例如,在5G商用初期是否要大力推动5G模组,RedCap政策发布后是否会带来规模化红利、卫星互联网的发展催生IoT-NTN的需求是否要进一步跟进?这些决策均需要进行不小的投资。 当前,随着大模型催生的“ 人工智能 +”成为全社会热点,端侧大模型成为一个重要方向。在笔者看来,很多厂商面临着严重的“AI焦虑”:不入局AI,不推出端侧大模型产品,似乎要被时代抛弃。在大模型给各行各业带来的实际效果还不明确的背景下,蜂窝物联网模组厂商入局大模型领域在短期内能够带来多大收益?当然,入局大模型也是新方向的探索,或许能够找到一个更有前景的场景。 三是持续做好本地化生态的挑战 近年来,蜂窝物联网模组企业在海外占据较高市场份额,其背后是建立了完善的营销渠道,对于本地化需求有了深入理解,海外获得的利润率也高于国内市场。此前,中国蜂窝物联网模组企业经历过国内市场“刀刀见血”的激烈竞争,能够胜出的企业在技术能力、产品质量、成本控制等方面已做到近乎极致,过去几年这些企业在海外市场能够快速渗透、抢占大部分市场份额,对于海外模组厂商来说可以说是“降维打击”,海外厂商与国内厂商相比很难获得竞争优势。今年u-blox退出蜂窝物联网模组领域,可以说是针对这一现状的决策。 不过,目前国内厂商市场份额已达到了全球总量的70%,尤其是在海外市场的份额也达到相当高比例,希望进一步扩大市场份额难度会越来越高。一方面,欧美等发达经济体对于蜂窝物联网模组的需求低迷,加上地缘政治的影响,在一个低速增长的市场中企业要保持高速增长难度较大;另一方面,海外主流的蜂窝物联网模组厂商也在不断进步,并充分发挥本地化的优势,与中国企业展开竞争。 要保持在海外持续的竞争力,坚持以往的方式是必要的,但仅仅以往的做法还是不够的,更要关注推动本土化的生态建设。对于已经在海外市场扎根多年的厂商,本土化生态建设需要进一步理解细分市场需求,与本地各个层级用户形成利益共同体,研发适应性产品,引导客户需求。另外,各国对于数字化、智能化相关技术和产业监管政策不断出台,蜂窝物联网模组厂商需要相关监管合规团队来保障企业出海符合相关要求,例如数据安全、跨境数据等规定,同时也为搭载了自身模组的终端厂商出海打下基础,一些厂商还涉及到在本地建设工厂进行生产制造。 蜂窝物联网 您可能感兴趣 搞懂物联网产业链其实很简单!《2023年中国AIoT产业全景图谱》重磅发布! 2022挚物·AIoT产业领袖峰会【线上直播】 百度海外上线AI社交APP“SynClub” 跨越观感边界 绽放视听盛宴 ——紫光展锐首颗AI+8K超高清智能显示芯片平台M6780亮相MWC上海 中国移动5G新通话正式发布:超低时延、超清画质、不占流量 谷歌遭遇集体诉讼,被指窃取数亿美国人的网上数据用于训练 AI
    31浏览量
    原文链接