DIN和DKE舉行關(guān)于最新IT安全性虛擬對話活動(dòng)

德國標(biāo)準(zhǔn)化協(xié)會(huì)（DIN）和德國電工委員會(huì)（DKE）在2021年2月22日的線上會(huì)議討論了《IT安全法2.0》（IT-SiG 2.0）的技術(shù)落實(shí)工作

立法機(jī)構(gòu)希望根據(jù)《IT安全法案2.0》（IT-SiG 2.0）為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商提出新的要求，并通過自愿性IT安全標(biāo)志來加強(qiáng)消費(fèi)者對IT產(chǎn)品的信心。在將這些要求轉(zhuǎn)化為技術(shù)要求時(shí)，將賦予聯(lián)邦信息安全局（BSI）新的職責(zé)。

如何確保這些法律草案實(shí)施過程中的技術(shù)法規(guī)是基于最新技術(shù)水平？現(xiàn)有的國家質(zhì)量基礎(chǔ)設(shè)施將發(fā)揮怎樣的作用？如何保證這些計(jì)劃措施可以和歐洲標(biāo)準(zhǔn)接軌？在2021年2月22日的線上會(huì)議討論中DIN和DKE與行業(yè)專家們一起解決了這些問題和其他問題。

DKE國家標(biāo)準(zhǔn)政策與合作項(xiàng)目負(fù)責(zé)人約翰尼斯·科赫（Johannes Koch）的發(fā)言拉開了這輪會(huì)談的序幕，他解釋了國家標(biāo)準(zhǔn)化組織DIN和DKE參與歐洲和國際標(biāo)準(zhǔn)化工作的情況，信息技術(shù)安全方面的最新技術(shù)已經(jīng)通過各種國際和歐洲標(biāo)準(zhǔn)得到體現(xiàn)。

在主題演講中，計(jì)算機(jī)安全應(yīng)急響應(yīng)小組(CERT)法律顧問Dennis-Kenji Kipker簡要介紹了目前關(guān)于《IT安全法案2.0》最新進(jìn)展情況。許多行業(yè)同仁對仍處于討論商榷階段的草案提出批評，比如其中沒有提及針對網(wǎng)絡(luò)和信息技術(shù)安全風(fēng)險(xiǎn)識別以及探測網(wǎng)絡(luò)攻擊方式的預(yù)先通知措施，也沒有明確的罰款條例，同時(shí)法律意義上也缺乏確定性。從標(biāo)準(zhǔn)化的角度來看，將確定最新技術(shù)水平的責(zé)任分配給聯(lián)邦信息安全局，現(xiàn)有的國家質(zhì)量基礎(chǔ)設(shè)施將要面臨平行結(jié)構(gòu)產(chǎn)生的風(fēng)險(xiǎn)。此外，難以理解的是，為什么聯(lián)邦信息安全局的國家技術(shù)準(zhǔn)則在自愿性IT安全標(biāo)志的技術(shù)設(shè)計(jì)過程中優(yōu)先于現(xiàn)有的規(guī)范和標(biāo)準(zhǔn)？

第二輪的討論由來自VDE集團(tuán)董事總經(jīng)理兼歐洲電工標(biāo)準(zhǔn)化委員會(huì)（CENELEC）的主席沃爾夫?qū)つ崞澮╓olfgang Niedziella）主持。他和與會(huì)者共同討論，IT安全法案2.0如何在最新技術(shù)水平下實(shí)行，以及規(guī)范和標(biāo)準(zhǔn)在實(shí)施過程應(yīng)發(fā)揮的作用。

德國信息技術(shù)、電信和新媒體協(xié)會(huì)（bitkom）的執(zhí)行委員會(huì)成員蘇珊·德梅爾（Susanne Dehmel）希望立法機(jī)關(guān)在擬定《IT安全法案2.0》時(shí)盡量明確保護(hù)目標(biāo)，從而為用戶實(shí)現(xiàn)這些目標(biāo)提供更大的靈活性。將確定最新技術(shù)水平的責(zé)任分配給聯(lián)邦信息安全局，使得該權(quán)威機(jī)構(gòu)接手了原本由專業(yè)人士和公共部門在標(biāo)準(zhǔn)化組織的圓桌會(huì)議的任務(wù)。原則上，IT安全標(biāo)簽為消費(fèi)者提供更多的透明度和指南，這應(yīng)該是個(gè)叫人歡迎的法律草案，但對標(biāo)簽的要求應(yīng)優(yōu)先考慮歐洲標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)，尤其是前者。

來自菲尼克斯電氣（Phoenix Contact / ZVEI）的產(chǎn)品和解決方案安全專員盧茲·雅尼克（Lutz J?nicke）博士擔(dān)心，如果將來有關(guān)IT安全性的所有工作，諸如對于最新技術(shù)的定義，合格評定、質(zhì)量認(rèn)證等等都由聯(lián)邦信息安全局負(fù)責(zé)，那么《IT安全法案2.0》將會(huì)動(dòng)搖國家現(xiàn)有的質(zhì)量基礎(chǔ)設(shè)施。德國和歐洲的質(zhì)量基礎(chǔ)設(shè)施以及新立法框架（NLF）的歐洲監(jiān)管原則都有存在的必要性。按照規(guī)劃IT安全標(biāo)簽屬于自愿性的，因此這個(gè)計(jì)劃的成功與否將會(huì)由市場來決定。而根據(jù)Lutz的經(jīng)驗(yàn)，客戶往往并不會(huì)為那些自愿認(rèn)證質(zhì)量標(biāo)記的產(chǎn)品支付額外的費(fèi)用，所以更有必要的是通過新立法框架在整個(gè)歐洲引入具有法律約束力的最低標(biāo)準(zhǔn)，而這個(gè)最低標(biāo)準(zhǔn)必須基于規(guī)范中描述的最新技術(shù)水平。

德國中壓電網(wǎng)指令(BDEW)的關(guān)鍵基礎(chǔ)設(shè)施和IT安全負(fù)責(zé)人亞辛·本杰布伯（Yassin Bendjebbour）認(rèn)為，立法機(jī)構(gòu)為通過《IT安全法案2.0》提高IT安全性所做出的努力是積極的，然而，要求的設(shè)計(jì)不應(yīng)僅由一個(gè)機(jī)構(gòu)負(fù)責(zé)，利益相關(guān)方的參與也至關(guān)重要。此外，標(biāo)準(zhǔn)化問題也應(yīng)加以考慮，因?yàn)槠浣Y(jié)果將被市場廣泛接受和使用。如果起初自愿性IT安全標(biāo)簽在歐洲范圍內(nèi)被強(qiáng)制推行，那么強(qiáng)制使用認(rèn)證產(chǎn)品將會(huì)對關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商構(gòu)成挑戰(zhàn)和威脅，運(yùn)營商和制造商很可能因此退出歐洲市場，那么歐洲將只剩下少數(shù)供應(yīng)商可以提供服務(wù)，也就難以實(shí)現(xiàn)追求數(shù)字化市場主權(quán)的目標(biāo)。因此，需要制定適當(dāng)?shù)姆蓷l文來規(guī)避以上那些可能對供應(yīng)商造成的劣勢。

主題演講人丹尼斯·肯吉·基普（Dennis-Kenji Kipker）在討論中提出，國家應(yīng)當(dāng)在《IT安全法案2.0》的背景下充當(dāng)監(jiān)管方一面的角色。根據(jù)最新版本的草案，技術(shù)規(guī)范應(yīng)由國家來界定?！禝T安全法案2.0》并非憑空捏造，而是有大量IT安全最新技術(shù)的相關(guān)規(guī)范標(biāo)準(zhǔn)可以依據(jù)。而為了獲得與市場一致的IT安全要求，也有必要讓各個(gè)有意向的團(tuán)體參與技術(shù)規(guī)則的制定。另一方面，在目前《IT安全法案2.0》中提供的實(shí)施方法將加大公司實(shí)際運(yùn)作時(shí)的工作量。而且完全由國家機(jī)構(gòu)來明確最新技術(shù)水平這一點(diǎn)也有違歐洲法律，因?yàn)?《歐洲網(wǎng)絡(luò)安全法》（CSA）規(guī)定國家法規(guī)必須與國際法規(guī)保持一致。

在最后一輪的討論中，所有與會(huì)者都達(dá)成共識：目前議會(huì)關(guān)于《IT安全法案2.0》的決議必須將一切相關(guān)安全標(biāo)準(zhǔn)規(guī)劃清楚。對法律草案的意見征詢期太短，以至于無法全面獲得各大經(jīng)濟(jì)體的意見。立法過程中必須再次仔細(xì)考慮如IT安全標(biāo)簽是否自愿或強(qiáng)制實(shí)施，聯(lián)邦信息安全局的權(quán)限說明以及核心組件的供應(yīng)鏈證據(jù)這些重要方面。

最后由DIN的高級政府關(guān)系部經(jīng)理卡佳·克魯格（Katja Krüger）做總結(jié)發(fā)言，她認(rèn)為德國需要加強(qiáng)IT安全這一點(diǎn)毫無疑問。對于現(xiàn)行法律草案的實(shí)施情況還存在諸多批評，尤其是出于其在歐洲可推行性的考慮，針對這些問題聯(lián)邦議院仍需要繼續(xù)改進(jìn)。從標(biāo)準(zhǔn)化的角度來看，應(yīng)該指出的是，技術(shù)標(biāo)準(zhǔn)不能單單由一個(gè)權(quán)威機(jī)構(gòu)來描述界定，而是需要所有相關(guān)方參與，共同商榷。要實(shí)現(xiàn)《IT安全法案2.0》的推行，標(biāo)準(zhǔn)化對聯(lián)邦信息安全局而言有利無害。除了建立很多平行結(jié)構(gòu)之外，聯(lián)邦信息安全局、標(biāo)準(zhǔn)化協(xié)會(huì)還有在質(zhì)量基礎(chǔ)設(shè)施中涉及的其他參與者需要互相配合。為了使IT安全標(biāo)簽在歐洲具有普遍適用性，標(biāo)簽必須基于國際標(biāo)準(zhǔn)和歐洲標(biāo)準(zhǔn)，然后再參考國內(nèi)技術(shù)準(zhǔn)則。當(dāng)前的法律草案本末倒置，因此必須加以修改。想獲悉更多的國內(nèi)外標(biāo)準(zhǔn)信息，請?jiān)L問中國標(biāo)準(zhǔn)信息服務(wù)網(wǎng)（<http://qgxnc.org.cn>）。