当前位置:首页 > 新闻 > DIN和DKE举行关于最新IT安全性虚拟对话活动
DIN和DKE举行关于最新IT安全性虚拟对话活动
分享到 : 文章来源:德国标准化网站 更新时间:2021-02-26 00:00:00

德国标准化协会(DIN)和德国电工委员会(DKE)在2021年2月22日的线上会议讨论了《IT安全法2.0》(IT-SiG 2.0)的技术落实工作

立法机构希望根据《IT安全法案2.0》(IT-SiG 2.0)为关键基础设施的运营商提出新的要求,并通过自愿性IT安全标志来加强消费者对IT产品的信心。在将这些要求转化为技术要求时,将赋予联邦信息安全局(BSI)新的职责。

如何确保这些法律草案实施过程中的技术法规是基于最新技术水平?现有的国家质量基础设施将发挥怎样的作用?如何保证这些计划措施可以和欧洲标准接轨?在2021年2月22日的线上会议讨论中DIN和DKE与行业专家们一起解决了这些问题和其他问题。

DKE国家标准政策与合作项目负责人约翰尼斯·科赫(Johannes Koch)的发言拉开了这轮会谈的序幕,他解释了国家标准化组织DIN和DKE参与欧洲和国际标准化工作的情况,信息技术安全方面的最新技术已经通过各种国际和欧洲标准得到体现。

在主题演讲中,计算机安全应急响应小组(CERT)法律顾问Dennis-Kenji Kipker简要介绍了目前关于《IT安全法案2.0》最新进展情况。许多行业同仁对仍处于讨论商榷阶段的草案提出批评,比如其中没有提及针对网络和信息技术安全风险识别以及探测网络攻击方式的预先通知措施,也没有明确的罚款条例,同时法律意义上也缺乏确定性。从标准化的角度来看,将确定最新技术水平的责任分配给联邦信息安全局,现有的国家质量基础设施将要面临平行结构产生的风险。此外,难以理解的是,为什么联邦信息安全局的国家技术准则在自愿性IT安全标志的技术设计过程中优先于现有的规范和标准?

第二轮的讨论由来自VDE集团董事总经理兼欧洲电工标准化委员会(CENELEC)的主席沃尔夫冈·尼兹耶拉(Wolfgang Niedziella)主持。他和与会者共同讨论,IT安全法案2.0如何在最新技术水平下实行,以及规范和标准在实施过程应发挥的作用。

德国信息技术、电信和新媒体协会(bitkom)的执行委员会成员苏珊·德梅尔(Susanne Dehmel)希望立法机关在拟定《IT安全法案2.0》时尽量明确保护目标,从而为用户实现这些目标提供更大的灵活性。将确定最新技术水平的责任分配给联邦信息安全局,使得该权威机构接手了原本由专业人士和公共部门在标准化组织的圆桌会议的任务。原则上,IT安全标签为消费者提供更多的透明度和指南,这应该是个叫人欢迎的法律草案,但对标签的要求应优先考虑欧洲标准和国际标准,尤其是前者。

来自菲尼克斯电气(Phoenix Contact / ZVEI)的产品和解决方案安全专员卢兹·雅尼克(Lutz Jänicke)博士担心,如果将来有关IT安全性的所有工作,诸如对于最新技术的定义,合格评定、质量认证等等都由联邦信息安全局负责,那么《IT安全法案2.0》将会动摇国家现有的质量基础设施。德国和欧洲的质量基础设施以及新立法框架(NLF)的欧洲监管原则都有存在的必要性。按照规划IT安全标签属于自愿性的,因此这个计划的成功与否将会由市场来决定。而根据Lutz的经验,客户往往并不会为那些自愿认证质量标记的产品支付额外的费用,所以更有必要的是通过新立法框架在整个欧洲引入具有法律约束力的最低标准,而这个最低标准必须基于规范中描述的最新技术水平。

德国中压电网指令(BDEW)的关键基础设施和IT安全负责人亚辛·本杰布伯(Yassin Bendjebbour)认为,立法机构为通过《IT安全法案2.0》提高IT安全性所做出的努力是积极的,然而,要求的设计不应仅由一个机构负责,利益相关方的参与也至关重要。此外,标准化问题也应加以考虑,因为其结果将被市场广泛接受和使用。如果起初自愿性IT安全标签在欧洲范围内被强制推行,那么强制使用认证产品将会对关键基础设施的运营商构成挑战和威胁,运营商和制造商很可能因此退出欧洲市场,那么欧洲将只剩下少数供应商可以提供服务,也就难以实现追求数字化市场主权的目标。因此,需要制定适当的法律条文来规避以上那些可能对供应商造成的劣势。

主题演讲人丹尼斯·肯吉·基普(Dennis-Kenji Kipker)在讨论中提出,国家应当在《IT安全法案2.0》的背景下充当监管方一面的角色。根据最新版本的草案,技术规范应由国家来界定。《IT安全法案2.0》并非凭空捏造,而是有大量IT安全最新技术的相关规范标准可以依据。而为了获得与市场一致的IT安全要求,也有必要让各个有意向的团体参与技术规则的制定。另一方面,在目前《IT安全法案2.0》中提供的实施方法将加大公司实际运作时的工作量。而且完全由国家机构来明确最新技术水平这一点也有违欧洲法律,因为 《欧洲网络安全法》(CSA)规定国家法规必须与国际法规保持一致。

在最后一轮的讨论中,所有与会者都达成共识:目前议会关于《IT安全法案2.0》的决议必须将一切相关安全标准规划清楚。对法律草案的意见征询期太短,以至于无法全面获得各大经济体的意见。立法过程中必须再次仔细考虑如IT安全标签是否自愿或强制实施,联邦信息安全局的权限说明以及核心组件的供应链证据这些重要方面。

最后由DIN的高级政府关系部经理卡佳·克鲁格(Katja Krüger)做总结发言,她认为德国需要加强IT安全这一点毫无疑问。对于现行法律草案的实施情况还存在诸多批评,尤其是出于其在欧洲可推行性的考虑,针对这些问题联邦议院仍需要继续改进。从标准化的角度来看,应该指出的是,技术标准不能单单由一个权威机构来描述界定,而是需要所有相关方参与,共同商榷。要实现《IT安全法案2.0》的推行,标准化对联邦信息安全局而言有利无害。除了建立很多平行结构之外,联邦信息安全局、标准化协会还有在质量基础设施中涉及的其他参与者需要互相配合。为了使IT安全标签在欧洲具有普遍适用性,标签必须基于国际标准和欧洲标准,然后再参考国内技术准则。当前的法律草案本末倒置,因此必须加以修改。想获悉更多的国内外标准信息,请访问中国标准信息服务网(<https://www.sacinfo.cn>)。


友情链接
中华人民共和国商务部
国家市场监督管理总局
国家标准化管理委员会
国家市场监督管理总局国家标准技术审评中心
中国标准化研究院
中国质检出版社