歐盟網絡安全法規解讀

本次歐盟網絡安全法規目標是增強網絡安全能力和組織之間以及國家之間的合作,並提出一套標準,每個歐盟成員國都需要應用這些標準,才能通過跨境可信認證在數字單一市場內安全地進行貿易。

歐盟委員會對數據保護和完整性的要求越來越嚴格,旨在改善跨歐盟的數據共享和數字通信,從而減少受到數據泄露和網絡攻擊影響的企業。實際上,企業和消費者都將從這些法規中受益。

電子識別、認證和信任服務(eIDAS)

針對在歐盟成員國內提供公共數字服務的所有組織,eIDAS於204年7月在歐盟法規90/204中成立,併爲歐洲單一市場中的電子識別和信任服務制定了標準。它於206年7月生效。

主要包括

)互操作性– 要求成員國創建一箇通用框架來識別其他成員國的eIDAS。這樣可以確保真實性和安全性,尤其是在跨境開展業務時。

2)透明度– eIDAS提供了可訪問的信任服務列表,這些信任服務可以在集中式簽名框架中使用。這使安全利益相關者可以就有關網絡安全的最佳技術和工具進行對話。

要成爲 eIDAS(如GloblSign)下合格的信任服務提供商(QTSP),組織必須經過特定的審覈並符合一系列標準。還必須在合格的簽名創建設備(QSCD)上提供根據 eIDAS 出售的所有合格證書,該簽名本身會經過審覈以確保其滿足以下要求:

  • 生成的簽名創建數據由合格的信任服務提供商(QTSP)管理。
  • 只有簽名者可以控制他們的私鑰。
  • 簽名創建數據是唯一的,機密的,並且可以防止僞造。

支付服務II指令(PSD2)和安全客戶認證的監管技術標準(RTS SCA)

該法規針對信貸,支付和電子貨幣機構。

205年2月23日,關於付款服務(PSD2)的第205/2366號指令在歐盟官方雜誌上發佈。自2007年以來,PSD2取代了PSD。PSD2的目標是促進金融服務行業的創新和競爭,併爲在線支付引入更高的安全標準。

主要包括

  • 創建一箇安全的界面,以允許第三方提供商訪問銀行客戶的付款帳戶信息。
  • 確保符合新的客戶端身份驗證規則。
  • 支持第三方提供商在209年第二季度至第三季度之前使用新的帳戶訪問API(XS2A)接口。

在監管技術標準(RTS)中,關注的是所有相關方之間的通用安全通信(CSC)。支付服務提供商與金融機構之間的所有交易都必須通過安全通道進行,並確保數據的真實性和完整性。該法規還討論了構成強客戶身份驗證(SCA)的內容,包括爲了保護支付服務用戶的個性化安全憑證的機密性和完整性而必須遵守的安全措施的要求。 在209年3月,PSD2進行了更新,以包括針對帳戶服務付款服務提供商(ASPSP)的信息,他們需要向第三方提供商提供其訪問接口(專用或面向用戶)的技術規範,並提供它們具有測試工具,可以對軟件和其他面向用戶的應用程序進行安全測試。爲了促進這一點,歐盟委員會提議創建一箇應用程序接口評估組(API EG),以創建和評估標準化的API規範。

網絡和信息系統安全性指令(NIS指令)

該指令適用於以下領域的公司:

  • 能量
  • 運輸
  • 銀行(信貸機構)
  • 金融市場基礎設施
  • 健康
  • 水利
  • 數字基礎設施

206年7月,發佈了歐洲議會和理事會的指令(EU)206/48,提出了在整個歐盟範圍內對網絡和信息系統的高度通用安全性提出要求的要求。歐盟網絡和信息系統安全指令(NIS指令)爲整個歐盟成員國的數字服務提供商和基本服務運營商規定了安全要求和事件通知規則。成員國必須在208年5月之前將其轉化爲國家法律。英國政府於207年8月發佈了一份公共諮詢文件,其中闡明瞭政府實施該指令的擬議方法,並明確了基本服務運營商和數字服務提供商的期望。

主要包括

  • 通過關於網絡和信息系統安全的國家戰略。
  • 指定“一箇或多箇國家主管部門”以監督指令的執行和遵守情況。
  • 指定“單一接觸點”作爲與其他會員國的聯絡點。
  • 建立一箇或多箇計算機安全事件響應團隊(CSIRT)。

電子發票指令

該指令影響廣泛行業中的B2B組織和應付帳款部門。

它旨在降低電子發票的複雜性和法律不確定性,併爲以電子方式發送的發票提供一些保護,從而爲網絡欺詐和其他嚴重的網絡風險打開了大門。

建立了電子發票保證“原產地真實性”(即發票發行人的身份)和“內容的完整性”(即發票內容自發行之日起未更改)的需要。關於增值稅(VAT)的歐盟指令2006/2/ EC。所有增值稅註冊實體都必須滿足此要求,以保持合規性。

“增值稅指令”將高級電子簽名指定爲一種執行此操作的方法。

eInoicing指令的最新更新利用了VAT指令中建立的規定,包括使用高級電子簽名來保證發票真實性和完整性的能力,並指定了所有電子發票發件人,而不僅僅是VAT實體,都必須能夠保證這。

先進的電子簽名通過以下方式保證來源的真實性和內容的完整性:

  • 唯一識別發票的發件人。
  • 在發票內容上創建防篡改印章,以便在文檔簽名後對文檔進行的任何更改都可以檢測。

誠信,機密,不可否認:金融服務基礎

隨着歐盟致力於通過建立更高的透明度和更強的網絡安全性來建立支持金融機構的新基礎架構,最終結果將是改善數據保護和經濟穩定性。但是,您如何證明自己的數據是準確的,如何使其免受不必要的第三方的窺探,還是無論如何都不會對其進行更改?答案是公鑰基礎結構(PKI)。使用數字證書可以使您對文檔,電子郵件和數據進行加密和簽名。

我們應該能夠說高度敏感的財務數據具有:

  • 完整性–有害的第三方不能更改它。
  • 機密性-有害的第三方無法看到它。
  • 不可否認–第三方不能僞造。

數字證書可以提供上述所有內容。

無論您是金融科技公司,支付提供商,比較服務公司還是銀行,在共享和交換數據時,網絡安全都將是頭等大事。提供消費者需要和想要的服務真是太好了,但是如果您不能安全地做到這一點,那麼損害就莫過於提供幫助。

爲了使自己適應當前的歐盟法規環境和開放銀行框架,GloblSign 提供瞭解決方案和認證,可幫助您制定幾乎所有的歐盟安全法規。我們被視爲下eIDAS也爲PSD2一箇官方信託服務提供商,這意味着我們可以提供合格的證書進行電子簽名,合格證書電子封條,併爲PSD2 QWACs和QSelCs。