歐盟擬立法嚴管聯網裝置 違者將開罰或強迫退出市場

歐盟計劃下周公布資安韌性法案 (Cyber Resilience Act) 草案,要求聯網技術供應商遵守歐盟的網路安全規範,否則將面臨罰款或是退出歐洲市場的風險。

根據彭博看到的文件,草案目的是為了提高聯網裝置的安全性,以抵禦近年來日益猖獗的網路攻擊。相關數據顯示,光是去年,與軟硬體相關的網路犯罪就造成約 6 兆美元的損失。

文件指出,包含電器在內的家用聯網設備可能具備較低的網路安全水準,即存在廣泛的安全漏洞、缺乏充分的安全更新來解決漏洞問題,或是無法向用戶提供詳盡的安全等級資訊。

歐盟表示,身在互聯網環境之下,一個產品的資安事件有可能影響到整個組織或是供應鏈,且通常會在短時間內擴散到內部市場,嚴重干擾經濟和社會活動,甚至危及人身安全。

根據歐盟擬議的規範,未來聯網裝置必須符合各項網路標準,才能獲准在地區內販售,開源設備 (Open-source devices) 不需遵守這些規範,除非有商業販售用途。

在歐盟執委會的要求之下,歐盟各國或監管機關有權對任何在地區內販售的商品展開調查,歐盟網路資訊安全局 (ENISA) 也將成立安全漏洞資料庫,協助評估跨境網路攻擊。

一旦發現違規,各國監管單位有權召回不符標準的設備,或是強迫退出歐洲市場。違反規範重要部分者,恐面臨最高 1500 萬歐元的罰款或全球年銷售額的 2.5%,以較高者計算;沒那麼嚴重的違規行為,將使企業面臨 1000 萬歐元或全球年銷售額 2% 的罰款;提供「不正確、不完整或具有誤導性」訊息的企業,將處以 500 萬歐元或全球年銷售額 1% 的罰款。

歐盟執委會預估,上述提案每年將為歐盟省下 1800-2900 億歐元,但為了遵守最新網路規範,企業和公家機關可能必須花費約 290 億歐元