您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
智庫快訊丨德國IT安全法2.0正式生效
2021年5月28日,德國《IT安全法》2.0版本正式生效。隨著新技術(shù)新應(yīng)用的發(fā)展和網(wǎng)絡(luò)環(huán)境的復(fù)雜化,數(shù)字化、網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)之間的聯(lián)系越發(fā)密切。網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)犯罪對國家、企業(yè)和社會構(gòu)成持續(xù)性重大威脅。為此,德國發(fā)布《IT安全法》2.0版本,通過彌補(bǔ)法律漏洞并擴(kuò)大監(jiān)管框架,以提高德國IT系統(tǒng)的安全性,并加強(qiáng)國家安全。法案側(cè)重點(diǎn)如下:
一是擴(kuò)大聯(lián)邦信息安全辦公室(BSI)的權(quán)限。其中包括:1、以技術(shù)調(diào)查的形式對包括路由器、智能電視等在內(nèi)的IT產(chǎn)品進(jìn)行擴(kuò)展篩選,以確保產(chǎn)品的安全性;2、從電信服務(wù)提供商處提取數(shù)據(jù)信息,以確定網(wǎng)絡(luò)攻擊的受害者,并為防御此類攻擊提供有效支持。在出現(xiàn)某種威脅的情況下,BSI可命令電信服務(wù)提供商采取相關(guān)措施;3、檢測和評估IT基礎(chǔ)設(shè)施及系統(tǒng)中的網(wǎng)絡(luò)入侵企圖和安全風(fēng)險。BIS將被授權(quán)對某些IT系統(tǒng)和公共電信網(wǎng)絡(luò)進(jìn)行端口掃描、排查漏洞,并使用系統(tǒng)和程序來分析惡意軟件和攻擊方法(比如:蜜罐);4、組織利益相關(guān)者制定必要的危機(jī)響應(yīng)計劃;5、分析和收集有關(guān)安全漏洞、惡意軟件和其他IT安全風(fēng)險的信息;6、對來自德國聯(lián)邦當(dāng)局的通信基礎(chǔ)設(shè)施的假名協(xié)議數(shù)據(jù)進(jìn)行擴(kuò)展數(shù)據(jù)處理和評估;7、BSI將被授權(quán)對聯(lián)邦當(dāng)局的通信技術(shù)及其組件(包括技術(shù)基礎(chǔ)設(shè)施)進(jìn)行監(jiān)測和控制,并行使審計權(quán)力。為避免聯(lián)邦通信技術(shù)受到威脅,BSI可以自動方式收集和分析相關(guān)日志數(shù)據(jù)。同時,存儲日志數(shù)據(jù)的時限可延長到最多18個月。同時,BSI將從早期開始參與聯(lián)邦政府的主要數(shù)字化項目。
二是加強(qiáng)對數(shù)字消費(fèi)者的保護(hù)?!白栽感訧T安全標(biāo)簽”項目用以推動與安全相關(guān)的IT產(chǎn)品的透明度,特別是使得消費(fèi)領(lǐng)域產(chǎn)品的IT安全功能可以被消費(fèi)者看到和理解。標(biāo)簽將貼在相應(yīng)的產(chǎn)品或其外包裝上,或者以電子形式發(fā)布,旨在為消費(fèi)者提供IT領(lǐng)域產(chǎn)品和服務(wù)的信息技術(shù)安全方向。標(biāo)簽由制造商自己提出申請,通過相關(guān)流程后獲得批準(zhǔn)。產(chǎn)品制造商有義務(wù)在BSI調(diào)查IT產(chǎn)品和系統(tǒng)時提供有關(guān)其產(chǎn)品的必要信息。
三是擴(kuò)展關(guān)鍵基礎(chǔ)設(shè)施范疇。1、擴(kuò)展關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。在現(xiàn)有的關(guān)鍵基礎(chǔ)設(shè)施部門(目前為能源、水、信息技術(shù)/電信、食品、衛(wèi)生、金融/保險和運(yùn)輸/交通)之外,新增“廢物處理”為關(guān)鍵基礎(chǔ)設(shè)施部門;2、定義關(guān)鍵基礎(chǔ)設(shè)施部門關(guān)鍵部件。關(guān)鍵部件是指:A、用于關(guān)鍵基礎(chǔ)設(shè)施的IT產(chǎn)品;B、對其可用性、完整性、真實性和保密性的破壞可能導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施的功能失效或嚴(yán)重受損或?qū)舶踩耐{;C、根據(jù)有關(guān)法律被指定為關(guān)鍵部件,或?qū)崿F(xiàn)根據(jù)法律指定的關(guān)鍵功能;3、擴(kuò)展相關(guān)性實體。將“具有特殊公共利益的基礎(chǔ)設(shè)施”和“具有網(wǎng)絡(luò)關(guān)鍵性”的運(yùn)營商納入進(jìn)來。前者是指國防、擁有機(jī)密信息技術(shù)的公司、因高附加值而具有特殊經(jīng)濟(jì)意義的公司、根據(jù)《重大事故條例》受到監(jiān)管的公司等;后者是指不在關(guān)鍵基礎(chǔ)設(shè)施范圍內(nèi)、但其IT系統(tǒng)、組件或者流程的中斷會導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施故障或者受損的公司。
四是新增制造商、供應(yīng)商和關(guān)鍵基礎(chǔ)設(shè)施部門的義務(wù)。1、關(guān)鍵基礎(chǔ)設(shè)施部門運(yùn)營商需安裝技術(shù)防范系統(tǒng),以監(jiān)測到對其IT基礎(chǔ)設(shè)施的攻擊。“具有特殊公共利益的基礎(chǔ)設(shè)施”的實體需履行關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商等同義務(wù)。在個案基礎(chǔ)上,聯(lián)邦信息安全辦公室將要求“具有網(wǎng)絡(luò)關(guān)鍵性”的公司也履行相關(guān)業(yè)務(wù)。2、BSI將在未來明確定義關(guān)鍵基礎(chǔ)設(shè)施核心部件的最低標(biāo)準(zhǔn),關(guān)鍵基礎(chǔ)設(shè)施行業(yè)將只能采購并安裝以發(fā)布“可信聲明”的制造商組件。這一要求明確包括制造商的整個供應(yīng)鏈。3、電信服務(wù)商將履行更廣泛的義務(wù),如發(fā)生網(wǎng)絡(luò)安全事件時刪除、報告、提供相關(guān)信息。供應(yīng)商在數(shù)據(jù)被非法傳輸或披露給第三方時立即通知德國聯(lián)邦刑事警察局。對于住所在國外、因而將數(shù)據(jù)存儲在國外服務(wù)器上的供應(yīng)商,在向德國提供服務(wù)時,需在德國設(shè)立一個官方查詢聯(lián)絡(luò)點(diǎn)。同時,首次引入了對電信網(wǎng)絡(luò)中關(guān)鍵部件的認(rèn)證義務(wù)。
五是對有關(guān)罰款的規(guī)定進(jìn)行了修訂。加大對計算機(jī)相關(guān)犯罪和數(shù)據(jù)保護(hù)相關(guān)犯罪的處罰力度,并修訂了罰款目錄。根據(jù)違法行為,罰款金額最高可達(dá)2000萬歐元,或占公司上一營業(yè)年度全球總營業(yè)額的4%(在不太重要的情況下為1000萬歐元或占2%),以較高者為準(zhǔn)。
參考信息:
https://www.engage.hoganlovells.com/knowledgeservices/viewContent.action?key=Ec8teaJ9VapIypF137qTl8xgHJMKLFEppVpbbVX%2B3OXcP3PYxlq7sZUjdbSm5FIetvAtgf1eVU8%3D&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQ0qFfoEM4UR4%3D&emailtofriendview=true&freeviewlink=true
https://www.whitecase.com/publications/article/germanys-draft-bill-it-security-20-extended-bsi-authorities-stricter-penalties
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html
來源:蘇州信息安全法學(xué)所 原創(chuàng) 汪麗