歐盟制定的EN 18037:2025將于2025年9月30日生效，這是歐盟首份“行業(yè)網(wǎng)絡(luò)安全評(píng)估指南”，用統(tǒng)一基于風(fēng)險(xiǎn)的方法讓移動(dòng)網(wǎng)絡(luò)、公共交通、電子醫(yī)療等多方系統(tǒng)迅速對(duì)齊ICT安全等級(jí)與認(rèn)證，降低合規(guī)成本、增強(qiáng)跨組織信任。

EN 18037:2025的核心目的：

為復(fù)雜、多方參與的行業(yè)ICT系統(tǒng)提供統(tǒng)一、可復(fù)用且基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全評(píng)估框架，從而既滿足《歐盟網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)彈性法案》等法規(guī)的合規(guī)要求，又降低跨組織協(xié)作成本、提升整體數(shù)字生態(tài)信任度。

EN 18037:2025的官網(wǎng)鏈接：

https://www.cencenelec.eu/news-events/news/2025/eninthespotlight/2025-04-16-en-18037-2025-on-sectoral-cybersecurity-assessment/

https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:75985,2307986&cs=1EB3AD5F9FF144953C9490E5BB3FAAEC3

EN 18037:2025的適用范圍：

該標(biāo)準(zhǔn)適用于存在多方利益相關(guān)者的行業(yè)ICT Information and Communication Technology系統(tǒng)， ICT所有用來采集、存儲(chǔ)、處理、傳輸和呈現(xiàn)信息的“計(jì)算機(jī)+通信”軟硬件組合，例如：移動(dòng)網(wǎng)絡(luò)、數(shù)字身份、電子健康、公共交通和支付系統(tǒng)、服務(wù)器、手機(jī)、基站、支付終端、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)設(shè)備等。

EN 18037:2025的典型應(yīng)用場(chǎng)景：

? 移動(dòng)通信與互聯(lián)網(wǎng)

? 5G/4G移動(dòng)網(wǎng)絡(luò)、光纖寬帶、衛(wèi)星通信、Wi-Fi熱點(diǎn)

? 支撐手機(jī)上網(wǎng)、視頻通話、OTT消息、云游戲

? 數(shù)字身份與公共治理

? 電子身份證（eID）、數(shù)字護(hù)照、政務(wù)一網(wǎng)通辦、電子投票

? 金融服務(wù)與支付

? 網(wǎng)上銀行、移動(dòng)支付（支付寶/Apple Pay）、POS終端、數(shù)字貨幣錢包、證券交易所交易系統(tǒng)

? 醫(yī)療健康

? 電子病歷（EHR）、遠(yuǎn)程診療、可穿戴健康監(jiān)測(cè)、AI影像診斷、醫(yī)保結(jié)算平臺(tái)

? 交通與物流

? 地鐵/公交AFC刷卡系統(tǒng)、共享單車、車聯(lián)網(wǎng)（V2X）、港口/航空貨運(yùn)跟蹤、智能紅綠燈

? 能源與公用事業(yè)

? 智能電網(wǎng)、遠(yuǎn)程抄表、分布式能源管理、電動(dòng)汽車充電樁網(wǎng)絡(luò)

? 工業(yè)與制造

? 工業(yè)物聯(lián)網(wǎng)（IIoT）、數(shù)字孿生工廠、MES/ERP 系統(tǒng)、工業(yè)機(jī)器人集群控制

? 智慧城市與家居

? 城市大腦（交通、安防大數(shù)據(jù)）、智能樓宇、智能家居（語音助手、聯(lián)網(wǎng)家電）

EN 18037:2025的關(guān)鍵條款：

1、業(yè)務(wù)流程情境化：從分析行業(yè)ICT系統(tǒng)所支持的業(yè)務(wù)流程以及各利益相關(guān)者相應(yīng)的業(yè)務(wù)目標(biāo)入手，識(shí)別對(duì)安全實(shí)施至關(guān)重要的主要和支持資產(chǎn)。 

2、資產(chǎn)與系統(tǒng)映射：映射利益相關(guān)者控制范圍內(nèi)與保護(hù)主要資產(chǎn)相關(guān)的ICT系統(tǒng)、產(chǎn)品和流程，并深入研究行業(yè)系統(tǒng)架構(gòu)以詳細(xì)了解其預(yù)期用途。

3、網(wǎng)絡(luò)威脅情報(bào)（CTI）：利用CTI收集有關(guān)相關(guān)攻擊者類型、其動(dòng)機(jī)和能力的見解，以便優(yōu)先考慮最值得進(jìn)一步分析的風(fēng)險(xiǎn)場(chǎng)景，優(yōu)化分析資源的使用，并支持定制網(wǎng)絡(luò)安全和保障要求的分配。

4、風(fēng)險(xiǎn)評(píng)估：根據(jù)網(wǎng)絡(luò)安全事件對(duì)業(yè)務(wù)目標(biāo)的影響以及此類事件發(fā)生的可能性進(jìn)行風(fēng)險(xiǎn)評(píng)估，可能性源于通過CTI確定的攻擊者動(dòng)機(jī)和能力。

5、參考級(jí)別：引入了內(nèi)部風(fēng)險(xiǎn)、安全、保障和攻擊潛力的參考級(jí)別系統(tǒng)，這些級(jí)別共同支持網(wǎng)絡(luò)安全風(fēng)險(xiǎn)定義的一致性，并且符合ISO/IEC 27005的風(fēng)險(xiǎn)數(shù)據(jù)可以轉(zhuǎn)移到ISO/IEC 15408系列框架中，用于規(guī)定保障要求，兩者結(jié)合能夠?qū)W(wǎng)絡(luò)安全和保障需求進(jìn)行強(qiáng)有力的基于風(fēng)險(xiǎn)的定義。

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)。