隨著數位化持續推進,歐洲資安法規的更新,正為全球企業帶來重要影響。最新的三項法規——NIS2、CRA以及PSTI,針對企業的資安管理與數位產品安全提出嚴格要求,並以高額罰款作為執法利器,企業若未符合法規,將面臨重大挑戰。
必維國際檢驗集團新事業發展處資訊安全部技術經理林宗慶說明,NIS2針對歐盟境內50人以上的中小型企業及關鍵基礎設施供應商,要求建立國家級網路安全策略,並將資安事件應變能力提升至新高度。違反法規者,最高將面臨全球營業額2%的罰款,法案將於2024年10月起正式實施。
CRA規範在歐盟銷售的數位產品的硬體與軟體安全,要求製造商在產品設計初期便融入Security by Design的概念,並進行漏洞管理與產品安全能力驗證。這三項法規的核心都是高額罰款與對漏洞管理的嚴格規範。林宗慶表示,為應對法規挑戰,IEC 62443標準成為最佳解決方案。此標準涵蓋資安生命週期(SDLC)及漏洞管理,可幫助企業從設計到營運全面落實資安能力。