Cyber Security丨欧盟EN 18037:2025《行业网络安全评估指南》将于2025年9月30日出版！

欧盟制定的EN 18037:2025将于2025年9月30日生效，这是欧盟首份“行业网络安全评估指南”，用统一基于风险的方法让移动网络、公共交通、电子医疗等多方系统迅速对齐 ICT 安全等级与认证，降低合规成本、增强跨组织信任。

EN 18037:2025的核心目的：

为复杂、多方参与的行业 ICT 系统提供统一、可复用且基于风险的网络安全评估框架，从而既满足《欧盟网络安全法》《网络弹性法案》等法规的合规要求，又降低跨组织协作成本、提升整体数字生态信任度。

EN 18037:2025的官网链接：

https://www.cencenelec.eu/news-events/news/2025/eninthespotlight/2025-04-16-en-18037-2025-on-sectoral-cybersecurity-assessment/

https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:75985,2307986&cs=1EB3AD5F9FF144953C9490E5BB3FAAEC3

EN 18037:2025的适用范围：

该标准适用于存在多方利益相关者的行业 ICT Information and Communication Technology系统， ICT所有用来采集、存储、处理、传输和呈现信息的“计算机+通信”软硬件组合，例如：移动网络、数字身份、电子健康、公共交通和支付系统、服务器、手机、基站、支付终端、云计算平台、物联网设备等。

EN 18037:2025的典型应用场景：

▶ 移动通信与互联网

• 5G/4G 移动网络、光纤宽带、卫星通信、Wi-Fi 热点

• 支撑手机上网、视频通话、OTT 消息、云游戏

▶ 数字身份与公共治理

• 电子身份证（eID）、数字护照、政务一网通办、电子投票

▶ 金融服务与支付

• 网上银行、移动支付（支付宝/Apple Pay）、POS 终端、数字货币钱包、证券交易所交易系统

▶ 医疗健康

• 电子病历（EHR）、远程诊疗、可穿戴健康监测、AI 影像诊断、医保结算平台

▶ 交通与物流

• 地铁/公交 AFC 刷卡系统、共享单车、车联网（V2X）、港口/航空货运跟踪、智能红绿灯

▶ 能源与公用事业

• 智能电网、远程抄表、分布式能源管理、电动汽车充电桩网络

▶ 工业与制造

• 工业物联网（IIoT）、数字孪生工厂、MES/ERP 系统、工业机器人集群控制

▶ 智慧城市与家居

• 城市大脑（交通、安防大数据）、智能楼宇、智能家居（语音助手、联网家电）

EN 18037:2025的关键条款：

1、业务流程情境化：从分析行业 ICT 系统所支持的业务流程以及各利益相关者相应的业务目标入手，识别对安全实施至关重要的主要和支持资产。

2、资产与系统映射：映射利益相关者控制范围内与保护主要资产相关的 ICT 系统、产品和流程，并深入研究行业系统架构以详细了解其预期用途。

3、网络威胁情报（CTI）：利用 CTI 收集有关相关攻击者类型、其动机和能力的见解，以便优先考虑最值得进一步分析的风险场景，优化分析资源的使用，并支持定制网络安全和保障要求的分配。

4、风险评估：根据网络安全事件对业务目标的影响以及此类事件发生的可能性进行风险评估，可能性源于通过 CTI 确定的攻击者动机和能力。

5、参考级别：引入了内部风险、安全、保障和攻击潜力的参考级别系统，这些级别共同支持网络安全风险定义的一致性，并且符合 ISO/IEC 27005 的风险数据可以转移到 ISO/IEC 15408 系列框架中，用于规定保障要求，两者结合能够对网络安全和保障需求进行强有力的基于风险的定义。

如您想进一步了解EN 18037:2025的详细要求，请直接告诉我们您关注的具体场景（如移动网络、电子医疗、公共交通等），以及您扮演的角色（运营商、制造商、监管方、集成商等），我们将为您专业地解读法规要求！

BACL网络安全资质授权：

CNAS网络安全认可实验室

IAS网络安全认可实验室

全球重要网络安全法规要求：

BACL网络安全检测认证能力：

通用标准（CC）

即ISO/IEC 15408，是国际公认的网络安全认证中的高级别标准，旨在确保信息系统、产品与服务的安全性能达到国际认可的水平。BACL作为具备CC 评估授权的单位，已拥有超过10 年的丰富经验。

物联网安全标准（loT）

• EN 18031/EN 301 549

• ETSI/EN 303 645

• IECEE CB 发证资质

• PSTI 英国网络安全法案资质

• NIST 美国网络安全评估资质

• ISO 27001/27701/GDPR

BACL 网络安全服务优势

• 研发阶段的网络信息安全咨询与评估

• 英国PSTI 法案咨询与评估

• CE RED 指令网络安全咨询与评估

• 美国加州SB-327 咨询与评估

• 美国FCC 自愿性网络安全认证咨询与评估

• 巴西、新加坡及全球其他国家地区网络安全咨询与评估