Cyber Security丨欧盟EN 18037:2025《行业网络安全评估指南》将于2025年9月30日出版!
欧盟制定的EN 18037:2025将于2025年9月30日生效,这是欧盟首份“行业网络安全评估指南”,用统一基于风险的方法让移动网络、公共交通、电子医疗等多方系统迅速对齐 ICT 安全等级与认证,降低合规成本、增强跨组织信任。
EN 18037:2025的核心目的:
为复杂、多方参与的行业 ICT 系统提供统一、可复用且基于风险的网络安全评估框架,从而既满足《欧盟网络安全法》《网络弹性法案》等法规的合规要求,又降低跨组织协作成本、提升整体数字生态信任度。
EN 18037:2025的官网链接:
EN 18037:2025的适用范围:
该标准适用于存在多方利益相关者的行业 ICT Information and Communication Technology系统, ICT所有用来采集、存储、处理、传输和呈现信息的“计算机+通信”软硬件组合,例如:移动网络、数字身份、电子健康、公共交通和支付系统、服务器、手机、基站、支付终端、云计算平台、物联网设备等。
EN 18037:2025的典型应用场景:
▶ 移动通信与互联网
• 5G/4G 移动网络、光纤宽带、卫星通信、Wi-Fi 热点
• 支撑手机上网、视频通话、OTT 消息、云游戏
▶ 数字身份与公共治理
• 电子身份证(eID)、数字护照、政务一网通办、电子投票
▶ 金融服务与支付
• 网上银行、移动支付(支付宝/Apple Pay)、POS 终端、数字货币钱包、证券交易所交易系统
▶ 医疗健康
• 电子病历(EHR)、远程诊疗、可穿戴健康监测、AI 影像诊断、医保结算平台
▶ 交通与物流
• 地铁/公交 AFC 刷卡系统、共享单车、车联网(V2X)、港口/航空货运跟踪、智能红绿灯
▶ 能源与公用事业
• 智能电网、远程抄表、分布式能源管理、电动汽车充电桩网络
▶ 工业与制造
• 工业物联网(IIoT)、数字孪生工厂、MES/ERP 系统、工业机器人集群控制
▶ 智慧城市与家居
• 城市大脑(交通、安防大数据)、智能楼宇、智能家居(语音助手、联网家电)
EN 18037:2025的关键条款:
1、业务流程情境化:从分析行业 ICT 系统所支持的业务流程以及各利益相关者相应的业务目标入手,识别对安全实施至关重要的主要和支持资产。
2、资产与系统映射:映射利益相关者控制范围内与保护主要资产相关的 ICT 系统、产品和流程,并深入研究行业系统架构以详细了解其预期用途。
3、网络威胁情报(CTI):利用 CTI 收集有关相关攻击者类型、其动机和能力的见解,以便优先考虑最值得进一步分析的风险场景,优化分析资源的使用,并支持定制网络安全和保障要求的分配。
4、风险评估:根据网络安全事件对业务目标的影响以及此类事件发生的可能性进行风险评估,可能性源于通过 CTI 确定的攻击者动机和能力。
5、参考级别:引入了内部风险、安全、保障和攻击潜力的参考级别系统,这些级别共同支持网络安全风险定义的一致性,并且符合 ISO/IEC 27005 的风险数据可以转移到 ISO/IEC 15408 系列框架中,用于规定保障要求,两者结合能够对网络安全和保障需求进行强有力的基于风险的定义。
如您想进一步了解EN 18037:2025的详细要求,请直接告诉我们您关注的具体场景(如移动网络、电子医疗、公共交通等),以及您扮演的角色(运营商、制造商、监管方、集成商等),我们将为您专业地解读法规要求!
关于冠准:
冠准科技(简称“ATC”)成立于2003年,占地面积1400多平方米,拥有国际一流的检测设备和专业的测试人员,是中国最早从事电磁兼容、无线、安全、理化测试的实验室之一。ATC获得了中国CNAS,美国A2LA、FCC、CEC,加拿大ISED、香港EMSD及众多国际权威机构等认可资质,服务范围涵盖信息技术类、家电类、灯具类、玩具类、广播电视音响类、工业、科学、医疗类、汽车电子、无线射频产品、电子电器等领域,可为客户提供专业的检测认证一站式服务,帮助企业的产品顺利进军国际市场!