2025年歐洲網(wǎng)絡安全標準化大會在比利時召開

3月20日，歐洲標準化委員會（CEN）、歐洲電工標準化委員會（CENELEC）和歐洲電信標準協(xié)會（ETSI）攜手歐盟網(wǎng)絡和信息安全局（ENISA）舉辦的2025年網(wǎng)絡安全標準化大會在比利時布魯塞爾舉行。

這個一年一度的大會此前已成功舉辦了八屆。這次會議匯聚了決策者、行業(yè)領袖、學者和網(wǎng)絡安全專家共商網(wǎng)絡安全議題，交流標準化工作進展，探尋未來發(fā)展前景。

本屆大會為期一天，吸引了200多名專家現(xiàn)場參會和1500余名聽眾線上參會。圍繞“歐洲標準化工作為支持網(wǎng)絡安全立法新格局提供支撐”的主題，大會設置了四個環(huán)節(jié)，分別討論了歐洲標準化工作的現(xiàn)狀、網(wǎng)絡安全立法的相互作用，以及網(wǎng)絡安全標準等關鍵議題。會議旨在促進利益相關方之間的對話與合作，以確保有效實施歐盟網(wǎng)絡安全相關立法。

在討論“歐洲標準化現(xiàn)狀”環(huán)節(jié)，歐盟網(wǎng)絡安全和數(shù)字隱私政策副主管拉盧卡·斯塔夫努克（RalucaStefanuc）、歐洲電工標準化委員會專家喬斯·雷米（JosRemy）、歐洲電信標準協(xié)會總干事讓·埃爾斯伯格（Jan Ellsberger）和歐洲電信標準協(xié)會副首席網(wǎng)絡安全和運營官弗洛里安·彭寧斯（FlorianPennings）討論了當前面臨的網(wǎng)絡安全挑戰(zhàn)、歐洲標準化組織（ESOs）在全球標準化生態(tài)系統(tǒng)中的作用及其潛在的協(xié)同效應。

在“網(wǎng)絡安全立法與標準的相互作用”環(huán)節(jié)，專家們探討了如何將現(xiàn)有、即將施行和未來的歐盟立法框架的要求落實到相關規(guī)范和標準中，并討論了他們的進展。與會專家還探討了歐洲協(xié)調(diào)標準的意義、協(xié)調(diào)標準在保護消費者和行業(yè)利益方面的重要作用，以及如何為歐盟的立法舉措提供支撐。

在“標準為網(wǎng)絡安全提供支撐”環(huán)節(jié)，專家們在歐盟網(wǎng)絡安全立法相關討論的基礎上，重點討論實現(xiàn)標準化的不同方法和方法論。與會者探討了融合新監(jiān)管框架中基于風險評估的方法與相應的風險管理標準的可能性。

在“未來的愿景”環(huán)節(jié)，專家們暢談在技術進步和地緣政治背景下標準化行業(yè)的當前和未來進程。

利益相關方的廣泛參與反映了網(wǎng)絡安全標準化工作在歐洲日益提升的重要性。舉辦方期待各方持續(xù)關注，并在加強歐洲網(wǎng)絡安全標準方面開展進一步合作。

標準支撐歐盟立法保障網(wǎng)絡安全

翻譯整理／方洛凡

信息技術行業(yè)正處于快速發(fā)展階段，大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等技術將逐漸應用于傳統(tǒng)行業(yè)，推動產(chǎn)品和服務的智能化，提升行業(yè)整體效率，并促進產(chǎn)業(yè)結(jié)構(gòu)的優(yōu)化升級。因此，網(wǎng)絡安全不僅關乎國家安全，更關乎當下和未來發(fā)展，也是民眾的重點關切議題。

歐盟在網(wǎng)絡安全領域正在逐步推進立法工作。2016年，歐盟頒布了《一般數(shù)據(jù)保護條例》，提供了公私領域獲取個人數(shù)據(jù)的法律規(guī)范，使人們能更好地掌控私人數(shù)據(jù)，并建立信任。2019年，歐盟頒布了《網(wǎng)絡安全法案》，對ENISA的職能和任務進行重新定位，并具體建立了適用于信息和通訊技術等產(chǎn)品的歐洲網(wǎng)絡安全認證框架。2024年，歐盟頒布了《網(wǎng)絡韌性法案》（CRA），將網(wǎng)絡安全合規(guī)框架進一步拓展至軟硬件領域，對歐盟乃至全球產(chǎn)生了重要影響。

在瞬息萬變的世界，面對日新月異的技術，制定網(wǎng)絡安全法規(guī)和標準勢在必行，相關組織也正在尋求相互理解、共同合作。我們必須縮短標準制定流程，應對技術變革，并重新思考制定標準的方式以及如何讓標準發(fā)揮作用。在“網(wǎng)絡安全立法與標準的相互作用”環(huán)節(jié)，專家們深入討論了標準化如何為歐盟立法提供支持和補充，保障網(wǎng)絡安全。

是否應當減緩相關立法？

來自歐盟委員會通信網(wǎng)絡、內(nèi)容和技術總局的專家卡米爾·多尼爾（CamilleDornier）表示，歐盟已經(jīng)通過了不少數(shù)字領域的立法，而且正在實施許多網(wǎng)絡安全方面的法案，比如《人工智能法案》《數(shù)字市場法案》和《網(wǎng)絡韌性法案》等。雖然會影響到相關企業(yè)，但網(wǎng)絡安全立法能夠保障歐盟的網(wǎng)絡安全，最終保護企業(yè)和公民。歐盟現(xiàn)在更多地關注即將出臺的數(shù)字一攬子計劃，明年將重點關注簡化方面。

她認為當下技術發(fā)展速度極快，全球形勢變化速度也極快，因此應當進一步關注新興技術如量子計算機、后量子加密技術等。同時還需要考慮是否需要對標準進行修訂、標準修訂的周期、與標準組織的合作，以便整合新興技術相關內(nèi)容，應對包括新興風險在內(nèi)的挑戰(zhàn)。我們已經(jīng)勉力奮進，而前方仍道阻且長。

來自歐洲數(shù)字化產(chǎn)業(yè)的領先行業(yè)協(xié)會“數(shù)字歐洲”的專家希德·霍爾曼（SidHollman）說，在過去五年里，已有約四十部數(shù)字法規(guī)相繼出臺，其中很多法規(guī)都與網(wǎng)絡安全相關，這給企業(yè)帶來了巨大壓力。有專家指出，在GDP增長方面，歐盟落后美國 30% ，這當然有很多方面的原因，但毫無疑問，其中一個原因是歐洲有很多法規(guī)。這并不意味著這些規(guī)則不好，它們的存在有其合理性和正當性。但在短短幾年里出臺了這么多法規(guī)，我們應當審視法規(guī)之間的一致性，或者至少確保有一個連貫的框架。

如何協(xié)調(diào)立法與標準化工作？

丹麥駐歐盟代表奇亞·斯拉貝克·詹森（KiaSlaebaekJensen）認為，《網(wǎng)絡韌性法案》是歐盟在網(wǎng)絡領域所制定的第一項產(chǎn)品立法。

歐盟建立了新的立法框架，利用它開展網(wǎng)絡安全工作，同時審視相關標準，力爭避免復雜化，以更簡單的方式實現(xiàn)標準化。歐盟正在跟蹤立法的實施情況，從而確保在關鍵時間節(jié)點完成既定目標。在丹麥擔任主席國期間，歐盟會繼續(xù)關注這個問題，推動相關標準的制定和應用。總體而言，成員國的水平低于理事會，因為此領域涉及的內(nèi)容非常抽象。許多公司、企業(yè)和組織從未制定過標準，簡單閱讀標準文件也很難了解具體措施，面對新出臺的多項法規(guī)，相關主體可能毫無應對經(jīng)驗。因此有關專家小組正在研究在成員國層面如何推進這項工作、如何實施相關標準、如何增強意識。

Orange集團歐洲分部的首席安全官弗朗索瓦·薩莫拉（FrancoisZamora）是國際標準化組織（ISO）和國際電工委員會（IEC）聯(lián)合技術委員會信息安全、網(wǎng)絡安全和隱私保護分委員會（ISO/IECJTC1/SC27）的委員。他指出，當下立法進程十分緊湊，因此留給標準制定流程的時間也非常有限。標準制定需要將眾多利益相關方納人考量范圍，但行業(yè)的利潤空間很小，所以無力負擔大批專家參加各種會議的費用。因此我們要尋求提高合規(guī)依據(jù)收集效率的方法。

弗朗索瓦·薩莫拉介紹說，我們可以廣泛采用國際標準和歐洲標準作為合規(guī)依據(jù)收集的基準，比如歐洲各個相關法案所規(guī)定的內(nèi)容，以及ISO/IECJTC1/SC27和CEN/CENELECJTC13所制定的標準內(nèi)容等。網(wǎng)絡安全和網(wǎng)絡安全韌性領域可以作為關鍵試點，進行單一合規(guī)依據(jù)在多個標準中應用的實踐。

在他看來，歐盟委員會頒布的文件可以從兩個角度來解讀。一個是范圍，另一個是安全控制。采用這種方法，就很容易分辨哪些是交叉的部分，哪些是互補的部分。如此，遵照相應國際標準，就可以避免重復性工作，根據(jù)法規(guī)要求完成相關報告。

歐洲電信標準化協(xié)會（ETSI）電子簽名和基礎設施技術委員會委員帕洛瑪·利亞內(nèi)薩（PalomaLLaneza）認為，網(wǎng)絡安全立法與標準化工作非常復雜。她從事網(wǎng)絡安全保護工作，網(wǎng)絡攻擊 99% 是跨國性質(zhì)的，網(wǎng)絡安全工作就是保護領土免受來自世界各地的攻擊。因為存在這些跨國性質(zhì)的攻擊、跨國公司、跨國情況，現(xiàn)有的法律體系并不完善，目前由各個政府決定發(fā)布和實施何種網(wǎng)絡安全規(guī)定。

但實際情況要復雜得多。標準化措施或許能夠解決一些由立法帶來的問題。通過協(xié)調(diào)不同立法的不同要求并進行評估，我們可以尋求一種方法簡化實施過程，并在全球范圍內(nèi)推廣，這就是我們試圖通過標準化工作和評估來解決的復雜性問題。復雜性本身并不會使標準化工作變得更復雜，反而良好的標準化工作可以實現(xiàn)簡化。

此外，歐洲的標準化工作可以借鑒國際標準化工作，在制定標準時也會參考國際標準。例如，歐盟采用了國際標準ISO27001，將其翻譯成不同語言，然后制定出歐洲標準，這樣一來，它在某種程度上就具有了強制性，但卻是基于自愿原則。

標準為立法和網(wǎng)絡安全提供支撐

翻譯整理／曹欣欣

第九屆歐洲網(wǎng)絡安全標準化會議的一個環(huán)節(jié)的主題是標準為網(wǎng)絡安全提供支撐。在這個環(huán)節(jié)中邀請了五位嘉賓，分別是來自法國標準化機構(gòu)（AFNOR）、歐洲標準化委員會和歐洲電工標準化委員會聯(lián)合技術委員會（CEN-CENELECJTC13）、歐洲電信標準協(xié)會（ETSI）、全球平臺組織（GlobalPlatform）以及UnlockOpen公司的專家。他們分別介紹了各個標準組織或機構(gòu)的標準制定流程和方法有何異同，并從各自的角度分享了對標準以及標準化工作重點的真知灼見，以及標準如何為立法和網(wǎng)絡安全提供支撐。

CEN和CENELEC的工作流程

斯代芬·穆耶（StefaneMouille）來自法國標準化機構(gòu)（AFNOR），是數(shù)字身份服務領域的資深專家，熟悉歐盟數(shù)字領域的立法和標準。他在會上介紹了AFNOR采用的標準制定方法，以及AFNOR的工作情況。

他說，我只是AFNOR的成員，并不能代表AFNOR，但一直在積極地為身份生物識別和網(wǎng)絡安全的國家機構(gòu)作出貢獻。歐盟1025/2012號法規(guī)（EUNo.1025/2010）規(guī)定了傳統(tǒng)的方法并定義了什么是歐洲標準，而“新法令框架”（NLS）定義了什么是名義上的標準。此外還有利益相關方平臺，該平臺是為了修訂歐洲標準的定義而創(chuàng)建的，它允許一些成員國和委員會引用行業(yè)制定的外國標準作為歐洲標準，例如全球平臺組織（GlobalPlatform）的標準。還有來自歐洲電信標準協(xié)會（ETSI）的技術標準，ETSI是歐洲制定標準最快的機構(gòu)，但它并不制定歐洲標準。因為如果想制定歐洲標準，比如歐洲標準化委員會（CEN）和歐洲電工標準化委員會（CENELEC），就需要獲得國家機構(gòu)的認可。

AFNOR的主要作用之一是確保法國整個工業(yè)和行政部門都能夠參與標準化活動，因為AFNOR是投票制定標準的機構(gòu)。

中小企業(yè)加入AFNOR是免費的，AFNOR鼓勵中小企業(yè)參與其中，了解正在做的工作并作出貢獻。這次會議問到的一個問題是，如何才能知道標準化領域正在發(fā)生的事情？答案是加人你國家的標準相關組織。每個成員國都有一個國家標準機構(gòu)。實話實說，在大多數(shù)情況下，加入的人很少。所以，你可以自由地加人任何工作組來了解正在做的事情。如果你想了解這個過程，就要參與其中。

本·庫克斯（BenKokx）是來自飛利浦公司、歐洲標準化委員會和歐洲電工標準化委員會聯(lián)合技術委員會（CEN-CENELECJTC13）的專家，他介紹了CEN和CENELEC的標準制定方法以及相關流程。他說，在CEN和CENELEC內(nèi)部，我們采用更傳統(tǒng)的標準化方法?？傮w來說，是希望在討論歐洲協(xié)調(diào)標準時能收到邀請，這樣就能在早期與歐盟委員會進行討論，了解法律的發(fā)展方向，以及在標準化方面可以做些什么。

通常，當有法律草案和標準化草案需求時，我們就開始做一些準備工作。這時一切還尚未有定論，但CEN和CENELEC會參與其中，比如討論有哪些制定標準的可能性？通常會成立一個工作組。比如，在協(xié)助制定歐盟“無線電設備指令”（RED）和歐盟《網(wǎng)絡韌性法案》（CRA）時就是這樣做的，在法律和標準化草案需求最終確定之前就已經(jīng)開始討論，目的是加快進程。

CEN和CENELEC的工作核心是要建立共識。標準中最重要的部分是什么？范圍是什么？對于特定行業(yè)中的特定產(chǎn)品而言，范圍是否太狹窄了？例如，RED和CRA涉及非常廣泛的橫向范圍，在制定過程中就會有非常多的不同觀點，因此達成共識變得很難，這是一個挑戰(zhàn)。

他說，我們制定標準的工作方式是，先草擬一份內(nèi)部分發(fā)的文本草案，然后根據(jù)內(nèi)部收到的評論完善文本，之后進人調(diào)查階段，實際上是通過國家標準機構(gòu)進行外部咨詢。最后，在收到評論后，我們會根據(jù)這些評論進行完善。如果標準草案已被接受，將進行正式投票。當正式投票獲得批準后，最終會形成一個可提供給歐盟委員會的標準，并會對其進行評估。根據(jù)結(jié)果，歐盟委員會將決定它是否適合法規(guī)的引用，如果是的話，這意味著它可以用作一致性推定的協(xié)調(diào)標準。

ETSI的流程是否不同？

CEN和CENELEC是代表著各個國家的歐洲標準化組織，而歐洲電信標準協(xié)會（ETSI）直接代表行業(yè)。在問到ETSI的標準制定流程是否與CEN和CENELEC有所不同時，ETSI網(wǎng)絡技術委員會副主席、來自埃森哲咨詢公司（Accenture）的專家米凱拉·科魯普斯拉（MichaelaKlopstra）回答，其實并不是這樣，ETSI的流程非常相似。

ETSI通常知道法律將會在何時出臺，因此就可以做好準備，比如研究哪個技術領域可以開展這項工作。以CRA為例，當時因為知道這項工作會非常繁重，所以ETSI就創(chuàng)建了一個小組，需要有更多人能真正專注于CRA的相關工作，但總體流程是一樣的。

她介紹說，一開始會收到標準化需求和草案，然后要討論定義的問題。如果這些都一致，并且接受了標準化需求，就要為所有需要編寫的標準創(chuàng)建工作項目。隨后要定義工作范圍，找到想與之合作的專家。然后進行投票，因為如果它是一項歐洲標準，就需要為新的工作項目投票，而不僅僅是最終為標準投票就行了。之后就進人工作流程，處理內(nèi)容并提出草案，進行討論，找到共識。如果批準了標準，就會進行另一次投票。

GlobalPlatform的方式更靈活

讓-丹尼爾·奧賽爾（Jean-DanielAussel）是來自泰利斯公司（Thales）以及全球平臺組織（GlobalPlatform）的專家。他表示，GlobalPlatform是一個跨行業(yè)的國際標準組織，致力于制定并發(fā)布安全芯片的技術標準，以促進多應用產(chǎn)業(yè)環(huán)境的管理及其安全、可互操作的業(yè)務部署。來自全球120多個跨產(chǎn)業(yè)的公司是其成員，參與制定GlobalPlatform的技術標準，其制定的技術標準任何成員可以無償獲得。

實際上，GlobalPlatform已經(jīng)這樣做了20多年，并且面向大眾市場應用。它的工作方式比CEN、CENELEC、ETSI或ISO等組織的方式更加靈活，工作重點也更加突出，而且其大多數(shù)成員都會參與周期較長的標準的制定。他說，如果遇到一個安全問題并想嘗試解決，我們不僅會定義安全性本身，還會定義相關認證以確保市場上的產(chǎn)品能夠正常運行，這個過程也是基于共識的。但GlobalPlatform更像是一個行業(yè)組織，因為我們身處行業(yè)，所以在制造產(chǎn)品時，我們會試圖在成本和上市時間方面使它們達到最優(yōu)。這意味著，當我們選擇安全性時，風險相關方會與我們合作，我們只需要足夠好的安全性，而不會過度設計。

開源和開放標準

UnlockOpen公司的專家托比·朗格爾（TobieLangel）坦言，他對正式的標準非常陌生。他來自開源和開放標準的世界，在萬維網(wǎng)聯(lián)盟（W3C）等行業(yè)聯(lián)盟的工作中能看到這些，他們稱之為標準。但每次他參加這樣的會議，都會被人質(zhì)疑說，你們所做的不是標準，但他們卻認為是。但無論如何，這些標準是行業(yè)驅(qū)動的，而且制定的過程是開放的。

這些開放標準的制定過程非常接近于開源的開發(fā)過程?；旧险麄€過程都是在開放中進行的，人們可以根據(jù)他們的技術專長為這些標準作出貢獻。不同類型的聯(lián)盟對于如何將這種協(xié)作輸入轉(zhuǎn)化為正式的文件有不同的模型。例如，可以通過修改結(jié)構(gòu)，也許最終會提交給

ISO，甚至在法律中被引用。比如，一些W3C標準被美國《殘疾人法案》所引用。通過這些標準，人們可以在某種程度上了解立法的角度。大多數(shù)時候是把通用的實踐做法形式化，做成標準，然后供自愿采用。

托比認為，之所以在開放標準和開源之間架起橋梁，是因為雙方可以相互學習借鑒。比如，在開源項目中會使用許多攻擊流程。我們在開放標準領域已經(jīng)實施了很多這種流程，事實證明這非常有效，可以提高速度，并實現(xiàn)更具協(xié)作性和開放性的流程。

他還發(fā)現(xiàn)，現(xiàn)在許多開源項目正在建立治理結(jié)構(gòu)和流程，這些結(jié)構(gòu)和流程受到開放標準領域發(fā)生事情的啟發(fā)。所以他認為，我們的工作方式之間存在很多交叉影響?？偟膩碚f影響是積極的，大家應該互相學習。這也是他參加這次會議的目的。

立法、標準與網(wǎng)絡安全

斯代芬說，CRA是一項法規(guī)，它提供了由網(wǎng)絡安全專家制定的基本網(wǎng)絡安全要求。如果你不符合它的要求，就沒有權(quán)力將產(chǎn)品投放市場。它的影響會慢慢展現(xiàn)，所有行業(yè)和企業(yè)都應該為網(wǎng)絡安全做好準備。我們需要制定適用于這個行業(yè)的標準。對于大型公司來說，這很容易。他們有大量的人員致力于標準和認證，但歐洲大多數(shù)都是中小企業(yè)，我們面臨的問題是，我們需要讓中小企業(yè)參與到標準制定中，以確保標準符合組織要求，并且易于管理。

托比認為，歐盟委員會實際上在CRA的目標中已經(jīng)明確，它旨在為歐洲消費者和企業(yè)提供更安全的產(chǎn)品。那如何知道我們實現(xiàn)了這一目標？當人們能買到更安全的產(chǎn)品時，就說明我們成功了。歸根結(jié)底，理解整個計劃的目的非常重要。但如果明天去市場只能買到不再連接互聯(lián)網(wǎng)的東西，超級安全，不再有網(wǎng)絡攻擊，但這也不是我們想要的。

本的觀點則是，安全的產(chǎn)品并不能解決問題，解決問題的關鍵是要有行為規(guī)范并以安全的方式提供安全產(chǎn)品的組織。他認為，CRA和RED確實有助于確保組織和社會的安全。其他相關方也應該參與，因為安全是共同的責任。僅僅是制造商來生產(chǎn)安全的產(chǎn)品，遠遠不夠。舉個例子，飛利浦公司屬于醫(yī)療保健行業(yè)。去年美國的一名員工打開一封電子郵件，點擊了郵件中的鏈接，導致142家醫(yī)院的醫(yī)療設備系統(tǒng)停運了五周。這還只是醫(yī)療設備，如果是醫(yī)療保健業(yè)的所有系統(tǒng)都受到影響呢？目前，醫(yī)院或基礎設施遭受的大規(guī)模攻擊主要針對普通打印機和普通網(wǎng)絡打印機。所以，還是要提高網(wǎng)絡安全，這是大家共同的責任。

標準制定的速度快是否總是好事？

容，想制定國際標準。根據(jù)ISO的規(guī)定，在算法創(chuàng)建3年以后才可以這樣做。因為ISO認為要有足夠多的人了解該算法，以確保它沒有后門和漏洞。因此，在這種情況下，速度并不是一個好方法。我們不能走捷徑。

橫向標準和縱向標準的區(qū)別

會上有人問道，歐洲常談到的橫向標準（horizontalstandards）和縱向標準（verticalstandards）的區(qū)別是什么？

來凱拉給出了簡單易懂的回答：橫向標準更通用，所有行業(yè)都需要它。而縱向標準是行業(yè)驅(qū)動的，適用于不同的行業(yè)。

斯代芬認為，做標準化工作，很難給出一個具體的方法，因為這取決于具體情況。你是要制定歐洲標準，還是ETSI的技術規(guī)范，或是協(xié)調(diào)標準？首先，要明確你的目標是什么。如果我們想制定自愿性標準，那就由行業(yè)來提出新的工作項目并嘗試達成共識。

另外，速度快并不總是好的解決方案。舉個例子，如果你定義了一種新的加密算法或新的加密內(nèi)

標準化工作聽起來很無聊？

聽專家們介紹參與標準的制定工作就是要起草文件和開會，大家坐在一起討論草案的細節(jié)，有的參會者認為，這聽起來太無聊了。如果想要讓更多的年輕人參與進來，過程是不是應該更有趣一些？

來凱拉對此持反對意見，她認為標準化工作一點也不無聊。她說，這個工作可能會很有趣，但也可能很令人沮喪。因為要制定的標準是大家共同需要的一個文件。我們要遵循相關規(guī)則才能制定一個好的標準，但要達到這個目標，真的需要大量的溝通。所以，我們在ETSI總說，茶歇時間有時比會議本身更重要，因為很多共識可能都是在茶歇期間達成的。標準會議往往是一個大型討論會，會有十幾人或者幾十人參會，也許只有兩個人無法就某個事情達成一致，所以就不需要所有參會者就這個問題展開討論，只需要讓這兩個人在茶歇的時候討論，等茶歇結(jié)束后回來，也許就已經(jīng)達成了一致。

暢談標準化工作愿景

翻譯整理／靳吉麗

如果展望未來的標準化工作，你會想到哪些方面呢？第九屆歐洲網(wǎng)絡安全標準化會議的其中一個環(huán)節(jié)是以“未來的愿景”為主題展開研討，邀請了來自法國網(wǎng)絡安全局（ANSSI）、歐洲網(wǎng)絡安全組織（ECSO）、意大利數(shù)字事務管理公司Namirial，以及歐洲標準化委員會（CEN）和歐洲電工標準化委員會（CENELEC）的四位網(wǎng)絡安全、標準化和數(shù)字管理等領域的嘉賓，從各自的視角描繪他們對未來標準化工作的愿景。

與會者在會議過程中根據(jù)這些愿景實現(xiàn)的難易程度進行排序，并就相關熱門話題與嘉賓展開深入探討。會議現(xiàn)場氣氛輕松活躍，大家暢談標準化的美好未來，激發(fā)出對未來的無限想象。

未來的愿景

法國網(wǎng)絡安全局（ANSSI）專家安德莉亞·羅克（AndreaRock）對未來的設想是：到2035年，我們已經(jīng)有各種各樣的法規(guī)，這些法規(guī)很大程度上都參考了歐洲標準。從成員國的角度來看，這意味著只有那些真正在標準制定上有所投人的成員國，才能在網(wǎng)絡安全領域保持影響力。他們必須參與其中，與行業(yè)開展合作，才能真正地發(fā)揮作用并影響標準的制定。這也意味著標準化工程師將真正地成為具有戰(zhàn)略意義的重要崗位。因此，希望未來大學能開設一些課程，教人們?nèi)绾尉帉憳藴?，如何參與標準制定，因為這是對如何決策產(chǎn)生影響的關鍵所在。

歐洲網(wǎng)絡安全組織（ECSO）專家喬安娜·斯維亞特科夫斯卡（JoannaSwiatkowska）認為，我們正處在相當緊張的地緣政治局勢中，不幸的是，這些緊張局勢可能會升級成為潛在的困難局面，甚至可能引發(fā)武裝沖突。歐洲正在加大國防投人，竭盡所能確保其實力和能力達到所需的水平。希望到2035年，軍用和民用標準化進程之間能夠?qū)崿F(xiàn)無縫合作，以確保歐洲擁有一流的國防能力。為什么軍民領域的標準合作如此重要？原因很簡單，我們需要最具創(chuàng)新性的技術，需要實現(xiàn)標準的快速制定，需要確保歐洲的供應商了解如何參與其中，而標準就是關鍵。我們需要適應快速變化的環(huán)境，這一點在軍民領域的標準化合作中也是必要的。

意大利數(shù)字事務管理公司Namirial專家保羅·坎佩賈尼（PaoloCampegiani）表示，中國的“數(shù)字絲綢之路”作為“一帶一路”倡議的一部分，提及了“三流企業(yè)做產(chǎn)品，二流企業(yè)做技術，一流企業(yè)做標準”。美國的“2025項目”提出縮小美國政府的規(guī)模，關閉許多聯(lián)邦機構(gòu)，但包括美國國家標準與技術研究院（NIST）在內(nèi)的一些機構(gòu)仍將繼續(xù)運作。該項目提出要制定更多的標準，與擁有開放市場的國家合作來共同開發(fā)產(chǎn)品。所以，兩國的情況大不相同。十年后，標準領域的全球競爭將更為激烈。這意味著我們在標準工作中必須首先考慮其主權(quán)問題，并且采取許多相關手段，因為標準實際上是服務于地緣政治的。

歐洲標準化委員會（CEN）和歐洲電工標準化委員會（CENELEC）的辛齊亞·米西羅利（CinziaMissiroli）是一名專業(yè)的標準化工作者。她認為，未來要建立的是一個能使個人、企業(yè)和政府都充滿信心開展活動的世界，同時我們所依賴的系統(tǒng)是安全設計的、具有韌性的，并且能夠適應變化。網(wǎng)絡威脅正在快速演變，我們必須采取一種具有前瞻性、協(xié)作性且深度融人數(shù)字創(chuàng)新各個方面的方法。為了實現(xiàn)這個愿景，我們必須重新思考標準的制定方式。首先，安全標準必須是動態(tài)的、具有前瞻性的。我們需要基于風險的強大標準，不斷納入實時威脅和情報的預測分析以及最新的最佳實踐。其次，必須加強全球合作，發(fā)揮歐洲的帶頭作用。安全不是區(qū)域性問題，而是全球性挑戰(zhàn)。歐盟已經(jīng)率先采取行動來制定國際認可的網(wǎng)絡安全標準，而且成為推動國際標準化的重要力量，確保歐洲開放、信任、包容和具有互操作性的價值觀塑造全球網(wǎng)絡安全格局。我們不僅要在歐洲立法機構(gòu)和標準化組織之間建立合作，還要在歐洲標準化組織、國際組織、論壇和聯(lián)盟之間開展合作。第三，必須將安全融人創(chuàng)新。我們必須擺脫被動的安全措施，而是繼續(xù)秉持“安全設計”的理念。這意味著標準必須是靈活的、面向未來的，并且是技術中立的，在保持強大保護力的同時取得持續(xù)的進步。對我們來說，未來將建立在信任的基礎上。

標準制定會越來越重要嗎？

現(xiàn)場的投票結(jié)果顯示，與會者認為安德莉亞的愿景最為樂觀。那么，隨著時間的推移，標準制定工作會越來越重要嗎？安德莉亞對此表示認同，她現(xiàn)在從事的工作就是參與制定標準。她希望越來越多的政府和企業(yè)都能意識到，標準不是無關緊要的事情。即便現(xiàn)在看不到成果，但標準實際上至關重要且具有戰(zhàn)略意義，必須在這方面進行大力投入。

辛齊亞認為，“參與”至關重要，是標準化的關鍵。如果沒有合適的人員參與其中、貢獻力量，我們就無法制定標準。遺憾的是，標準化領域存在人員老齡化問題，同時缺乏對標準制定感興趣的新人。我們在標準化教育方面投入了大量精力。目前，我們正在制定計劃，以確保能在大學甚至更早階段講授標準化知識。為了滿足標準制定需求，我們與國際標準化組織（ISO）和國際電工委員會（IEC）合作開發(fā)在線協(xié)作平臺，讓歐洲乃至全球的專家可以同時在同一個文檔上開展工作。這將吸引更多的參與者，以更加動態(tài)的方式制定標準，最終會比現(xiàn)在更快地制定出標準。

未來會面臨哪些挑戰(zhàn)？

在談及標準化工作未來會面臨哪些挑戰(zhàn)時，喬安娜表示，當你越深人地參與網(wǎng)絡安全相關討論，關注地緣政治局勢，你就會越清楚地發(fā)現(xiàn)軍用和民用領域在技術發(fā)展上的緊密聯(lián)系。事實上，關于軍民兩用技術的探討已經(jīng)不足為奇。軍用和民用系統(tǒng)之間的標準融合也已經(jīng)成為現(xiàn)實。北約等組織明確表示默認優(yōu)先使用民用標準，只有真正必要時才會轉(zhuǎn)向軍用標準。這是因為，如今軍用和民用領域已經(jīng)完全沒有技術界限了。在海軍領域，兩者的技術應用相近度達到了90% 。在網(wǎng)絡安全領域也是如此，她認為超過 90% 的技術都具有兩用性。不過，考慮到當前的地緣政治局勢，她覺得軍民融合在未來仍將是討論的焦點。

彼得是一位來自荷蘭的與會者。他認為，我們都忙于制定標準，因此在提高標準方面做得非常出色。但他提醒大家，要警惕完美主義和不信任帶來的危險，因為我們要考慮所有的終端用戶。他通過開展全國性協(xié)會調(diào)查發(fā)現(xiàn)，一些協(xié)會及其成員非常不愿意使用技術，因為他們對技術了解得不夠。系統(tǒng)和標準制定得越完美、水平越高，其引發(fā)的不安就越多。這似乎有點自相矛盾。但從現(xiàn)實角度看，我們無法防范每一個風險。過去的10年，我們試圖解決銀行和金融系統(tǒng)中的洗錢問題。我們?nèi)〉昧顺晒?，但用戶想要開設銀行賬戶卻變得十分困難，他們由此對各種措施感到不快。我們在制定非常完美的標準時，也可能犯同樣的錯誤，就是忽略了產(chǎn)品的終端用戶。

標準制定是歐洲優(yōu)先，還是全球優(yōu)先？

對于標準制定優(yōu)先級的問題，與會者的反饋顯示出非常全球化的視角。大多數(shù)人傾向于全球優(yōu)先，認為很多行業(yè)都是在全球范圍內(nèi)開展業(yè)務，這樣會比僅在歐洲更好。如果歐洲先制定出一個標準，努力將其推廣到全球，也可以實現(xiàn)全球化。有人認為，歐洲應該在制定高標準方面發(fā)揮關鍵作用，整合優(yōu)勢資源，讓全球其他地區(qū)支持并加人進來，按照歐洲的方式來做事。

保羅認為，我們必須靈活應變，在某些情況下獨自行動更好，而在其他情況下與他人合作更好，這要視情況而定。在網(wǎng)絡安全方面，歐洲目前是追隨者而不是領導者。在這種情況下，我們是繼續(xù)做追隨者還是成為領導者，這是一個開放性的問題。總的來說，這要視情況而定，要具體問題具體分析。

安德莉亞表示，這個問題不能完全割裂開來。比如，當我們制定一些標準時，很多其他國家會感興趣并參與進來。但與此同時，歐洲也會采用國際標準并進行調(diào)整。所以，我們不能完全另起爐灶，必須考慮已經(jīng)存在的事物，特別是在互操作性方面。我們要努力展示能做到的事情。如果我們制定的標準足夠優(yōu)秀，它們也會在歐洲以外的地區(qū)得到實施。

辛齊亞認為在某些領域，歐洲在堅持以自己的方式做事，同時可以發(fā)揮引領作用。不過，歐洲并非在所有領域都具備專業(yè)知識，網(wǎng)絡安全就是其中一個領域。在量子等其他領域，歐洲可以而且已經(jīng)在國際層面發(fā)揮引領作用了，至少在標準化方面領先于國際水平。所以要視情況而定，不能一概而論。這取決于我們想要在哪些領域發(fā)揮引領作用，以及我們有能力在哪些領域發(fā)揮引領作用。

喬安娜對歐洲的網(wǎng)絡安全能力更樂觀一些，因為她所在的組織代表著歐洲各地的網(wǎng)絡安全利益相關方，不僅有最具創(chuàng)新性的想法，還有最具創(chuàng)新性的產(chǎn)品。她認為歐洲需要向自己證明，也要向外部合作伙伴證明，我們有能力成為全球領導者，或者至少在網(wǎng)絡安全領域擁有一席之地。歐洲目前所處的形勢也有積極的一面，因為現(xiàn)在正是保持現(xiàn)有優(yōu)勢并彌補不足的好時機。盡管全球形勢變得越來越復雜，但她強調(diào)，這可能是歐洲提升自身能力的機會。

如何降低標準制定的門檻？

在標準制定方面，如果人力資源稀缺，情況會變得更困難，這是一個挑戰(zhàn)。是否可以利用人工智能來制定標準呢？彼得表示，我們需要更多年輕人參與到標準制定中來，否則就會產(chǎn)生問題。他已經(jīng)50歲了，但在很多標準化技術委員會里，他還算比較年輕的。他認為，生成式人工智能或大語言模型會基于很多人、很多信息來源的普遍觀點創(chuàng)建一個概率模型。在當今世界，將制定標準的工作委托給一個生成式系統(tǒng)并不奇怪，就像律師會借助大語言模型來起草合同一樣。但有人認為，生成式人工智能不是萬能的，它無法在社會中達成共識。還有人認為，雖然無法達成共識，但我們可以以更好的方式利用人工智能。比如，它可以協(xié)助起草標準，但人們?nèi)匀恍枰蜆藴什莅高M行討論。

在保羅看來，無論在美國還是歐盟，在數(shù)字領域面臨的挑戰(zhàn)是相同的。所以，我們應該考慮協(xié)調(diào)統(tǒng)一，從而實現(xiàn)流程的簡化和優(yōu)化。我們應該考慮不同地區(qū)之間的互補性，實際情況也是如此。生成式人工智能可能無法準確地代表所有人類。它可能會對我們非常有價值，但應該在嚴格的控制下，設定正確的目標，這樣就能形成一個不錯的草案。但它不會做出最終決策。

安德莉亞認為人工智能行不通，因為它缺少人與人之間的互動。一般來說，制定標準的最佳決策者是真正的專家，他們有不同的觀點和需求，通過討論，最終制定出解決方案。而且，這還涉及不同背景的人之間達成共識。她認為，制定標準是非常人性化的事情，因此不確定利用人工智能是否會得到完全一樣的結(jié)果。

辛齊亞非常認同安德莉亞的觀點。她從事標準制定工作已經(jīng)18年了。她說，標準制定關乎的是人，以及人們?nèi)绾卫眉夹g專業(yè)知識充滿熱情和投人地參與討論并達成共識，最終成功制定出標準。如果沒有人的支持，標準就無法制定出來。生成式人工智能可以協(xié)助改進措辭、進行編輯。但她認為，在偉大的標準背后，總是有偉大的思想。