在风险识别与分类上,报告共识别出网联自动驾驶汽车领域107项网络安全风险,其中14项被列为极高风险,并按照处理与决策系统、车辆控制系统、通信与连接系统、感知系统、充电基础设施、云与后端系统、高风险供应商七大维度进行风险分类。
表1报告中列出的14条高风险项
值得关注的是,报告明确指出充电基础设施网络安全防护水平偏低、安全性严重不足的行业现状,同时重点警示了高风险供应商可能带来的供应链安全威胁——此类供应商或受外部施压,在产品中植入恶意软硬件、篡改车载AI功能,且相关行为难以被及时检测,成为CAV领域的核心风险点之一。
针对现有监管体系,报告也给出关键结论:当前相关法规(如UN R155)虽能应对诸多重大交通安全相关风险,但受资源、监管初衷等因素限制,难以覆盖有组织、可能受政府支持的新型网络安全威胁,无法应对该领域所有网络安全风险,也凸显了本次风险评估报告发布的必要性与紧迫性。基于上述风险分析,报告从产业监管和企业运营层面提出多项核心建议,包括推动供应链“去风险化”、成员国建立高风险供应商准入限制、推进敏感非个人数据本地化(范畴突破GDPR仅针对个人信息保护的边界)、强化充电基础设施网络安全合规、鼓励行业内信息共享与漏洞披露及应急演练等,为欧盟后续相关监管落地和企业合规实践奠定基础。
面对欧盟日趋严格的网络安全监管,中国汽车产业链企业需从战略高度构建系统性应对能力,建议企业从以下六个维度着手,将合规从“被动应付”升级为“主动布局”:
(一)针对“高风险供应商”要求,建立供应商分级管理与风险自评机制,定期开展供应链尽职调查,提前制定多源供应或技术解耦预案,形成可审计的合规证据链。
(二)围绕14项极高风险,对ADAS/ADS算法开展对抗攻击测试与模型鲁棒性验证,对OTA全流程进行安全防护检测,对ECU、V2X、T-Box等核心部件实施渗透测试,确保关键系统满足欧盟准入要求。
(三)结合GDPR与非个人数据本地化趋势,以欧盟为独立数据域部署本地存储与处理能力,严格区分可跨境与受限数据,利用隐私计算等技术平衡合规与研发需求,避免过度依赖数据回传。
(四)充电桩企业应将产品定位为“安全合规资产”,在设计阶段融入加密通信、访问控制等安全机制,对标NIS2关键实体要求开展型式认证准备,同步建立运维阶段的安全监测能力。
(五)建立7×24小时安全运营机制,定期开展应急演练,确保满足NIS2“24小时预警、72小时评估报告”的强制要求。
(六)定期开展NIS2、UN R155等法规的差距分析,通过第三方专业机构的培训与评估,确保合规路径始终与欧盟最新监管要求保持同步。
10个月宝宝每天需要喝多少奶粉?
