Bureau Veritas立德國際協助取得歐盟資安通行證 提供RED指令攻略方案

立德國際舉辦研討會協助台灣電子供應鏈取得物聯網網通裝置進入歐盟市場通行證。立德國際

全球物聯網科技的發展一日千里，搭配5G通訊與人工智慧的蓬勃應用，伴隨著多樣化的落地應用，刺激電子產業高速成長，但也同步讓網路安全的議題提升到前所未有的高度，政府、產業界與消費者需要一起攜手以風險導向來思考面對全新的資安挑戰，而箭在弦上的歐盟2024年8月生效的最新RED（歐盟無線電設備指令）強制性法規，更為網路安全制定了嶄新的要求，製造商在具備無線通訊能力的產品設計和生產上都必須考慮強制性資安要求，以確保所有無線設備於歐盟上市銷售前都是安全無虞的，並且能保護消費者的隱私和個資，防止金融詐欺等風險。

Bureau Veritas（立德國際）於2023年3月10日（五）於台北大直典華飯店舉辦「物聯網產品進入歐盟市場的資安通行證」研討會，以一場豐盛的科技饗宴提供台灣ICT廠商對應歐盟的RED的強制性標準的完整建議，活動首先由BV消費品產品事業部科技產品事業群台灣區總經理Paolo Ingarao先生開場致詞歡迎現場爆滿的來賓，資深經理Jim Chiu勾勒這場研討會的重點，他期盼透過專家提供的建議做為進軍歐盟產品之布局與策略，以搶攻歐盟物聯網供應鏈市場，並取得快速進入國際市場的門票。

第一場主題演講由資策會產業情報研究所的資深產業分析師兼產品經理童啟晟先生上台，他以萬物聯網趨勢下ICT產業的資安布局與策略為題，先以物聯網裝置隨著雲端服務的大量普及，以及大量的行動裝置與存取設備的多元化破題，看到傳統用防火牆做為護城河做為信任基礎的網路邊界，已經難以抵擋已知的攻擊型態，他力主企業建構完整的資安防護體系以面對資安風險，並建議大舉進行資安轉型，做為企業營運當務之急，從中建立資安智慧聯防生態系，倡導公私協力、跨域聯防的合作機制，達成建構IT/OT網路的安全聯防策略。

2024年8月生效的RED強制性資安法規，力促產業界及早開始準備

Bureau Veritas技術經理李培寧（Kenny Lee）先生接續上台揭開這次研討會的重頭戲，他的主題演講聚焦於RED調和標準(Harmonized Standards)的發展狀況，歐盟早在2022年1月的正式公佈(OJ)明令RED的要求，做為無線設備的網路安全、個人資料和隱私保護水準的重要規範，目前詳細的規格正處於過渡期的討論與制定期間，產業界正經歷時間壓力下的挑戰。
                                                   
根據目前的進度，尚未明確指出何時將會正式發布調和標準，原本期待2023年9月30日的行程並不樂觀，比較合理的期待應該是在2023年底的時間，但是如果製造商等待調和標準發布後再開始準備，屆時符合RED指令這個強制要求的準備時間將少於10個月，何況萬一發布調和標準時程再有所延宕，這將會讓整個供應鏈產生更大的時間壓力。

在這段等待調和標準正式發布的過渡期，製造商可以使用市場上公認的國際標準ETSI EN 303 645與IEC 62443-4-2的先進行相關準備，參考這些標準的要求對應其產品相關的網路安全風險，來實施這些標準中提到的相關網路安全控制措施，於此同時，Bureau Veritas針對製造商提出了三套解決方案。

於過渡期中有兩個方案，方案一，提供「健檢（Health Check Suite）」方案，其涵蓋EN 303 645標準的選擇性測試（Selective test），以及依Bureau Veritas符合性驗證(Verification of Conformity)的標準進行測試，並取得BV Cyber Mark的標章。

方案二，提供「RED早鳥合規（Early RED Suite）」方案，其包括EN 303 645標準的完整測試，以及調和標準差異項目測試，也就是在調和標準正式版本中與EN 303 645測試項目的差異測試項目的補測試，並取得BV Cyber Mark的標章，以及由Bureau Veritas 所簽發之RED型式認證（RED NB Type certification)。

以上這兩個方案的提供，是基於調和標準正式完成之前提供給客戶的方案，對產業界來說不用再等待，為了及早因應RED合規時間壓力，他建議製造商現在就可以開始，至於第三個套裝稱為「RED合規（RED Suite）」解決方案，也就在調和標準正式發布之後，才可以正式提供，其包含RED調和標準完整測試，取得BV Cyber Mark的標章，可加選Bureau Veritas 所簽發之RED型式認證（RED NB Type certification）。

BV Cyber Mark的安全標章突破歐盟 RED 資安要求不卡關

Bureau Veritas首席資安專家林上智（SZ Lin）先生的演講聚焦於RED合規常見的技術問題，由於時間與調和標準尚未確定，為了突破歐盟RED資安要求而不卡關，從製造商需要進行資安風險分析談起，帶出RED調和標準的基礎為ETSI EN 303 645，以及工業自動化網路系統安全性的IEC 62443系列的國際標準。

Bureau Veritas台灣在2021年已獲得國際電工協會IECEE認可，具有IEC 62443資安檢測實驗室（CBTL）資格，並在2022年初將台灣實驗室導入標準之後，成為大中華地區唯一的ISASecure實驗室，提供台灣客戶國際資安標準的全方位資安檢測服務，並出具國際認可的資安檢測報告及證書，從單點的產品資安檢測、延伸到協助客戶的安全軟體開發生命週期的驗證，舉凡如資訊安全管理、風險分析及威脅建模等項目，一應俱全，此時提出BV Cyber Mark標章的服務，對於解決製造商2024年的RED認證有強力的依據，幫助突破歐盟 RED 資安規範的限制。

最後由BV Mark Global產品經理Lewis Bacon先生壓軸，他介紹BV Mark的產品認證機制，由於消費者對完全資訊透明的要求愈來愈高，BV Mark幫助終端消費者落實製造廠生產高品質產品的期望，同時提升品牌知名度、增加購買信任度並讓消費過程更簡單。

BV Mark標章確保產品符合安全、高品質、可持續性、連通性、網路安全和良好的用戶體驗，在台灣電子供應鏈需要針對合規產品開發和測試有莫大的助益，他提醒台灣電子供應鏈針對產品資安評估及早規畫以確保產品的市場競爭力，以因應快速變遷的物聯網網路安全發展，希望協助台灣電子製造與供應鏈快速取得進入國際市場的關鍵門票。