歐盟制定的EN 18037:2025將于2025年9月30日生效，這是歐盟首份“行業(yè)網絡安全評估指南”，用統一基于風險的方法讓移動網絡、公共交通、電子醫(yī)療等多方系統迅速對齊ICT安全等級與認證，降低合規(guī)成本、增強跨組織信任。

EN 18037:2025的核心目的：

為復雜、多方參與的行業(yè)ICT系統提供統一、可復用且基于風險的網絡安全評估框架，從而既滿足《歐盟網絡安全法》《網絡彈性法案》等法規(guī)的合規(guī)要求，又降低跨組織協作成本、提升整體數字生態(tài)信任度。

EN 18037:2025的官網鏈接：

https://www.cencenelec.eu/news-events/news/2025/eninthespotlight/2025-04-16-en-18037-2025-on-sectoral-cybersecurity-assessment/

https://standards.cencenelec.eu/dyn/www/f?p=CEN:110:0::::FSP_PROJECT,FSP_ORG_ID:75985,2307986&cs=1EB3AD5F9FF144953C9490E5BB3FAAEC3

EN 18037:2025的適用范圍：

該標準適用于存在多方利益相關者的行業(yè)ICT Information and Communication Technology系統， ICT所有用來采集、存儲、處理、傳輸和呈現信息的“計算機+通信”軟硬件組合，例如：移動網絡、數字身份、電子健康、公共交通和支付系統、服務器、手機、基站、支付終端、云計算平臺、物聯網設備等。

EN 18037:2025的典型應用場景：

? 移動通信與互聯網

? 5G/4G移動網絡、光纖寬帶、衛(wèi)星通信、Wi-Fi熱點

? 支撐手機上網、視頻通話、OTT消息、云游戲

? 數字身份與公共治理

? 電子身份證（eID）、數字護照、政務一網通辦、電子投票

? 金融服務與支付

? 網上銀行、移動支付（支付寶/Apple Pay）、POS終端、數字貨幣錢包、證券交易所交易系統

? 醫(yī)療健康

? 電子病歷（EHR）、遠程診療、可穿戴健康監(jiān)測、AI影像診斷、醫(yī)保結算平臺

? 交通與物流

? 地鐵/公交AFC刷卡系統、共享單車、車聯網（V2X）、港口/航空貨運跟蹤、智能紅綠燈

? 能源與公用事業(yè)

? 智能電網、遠程抄表、分布式能源管理、電動汽車充電樁網絡

? 工業(yè)與制造

? 工業(yè)物聯網（IIoT）、數字孿生工廠、MES/ERP 系統、工業(yè)機器人集群控制

? 智慧城市與家居

? 城市大腦（交通、安防大數據）、智能樓宇、智能家居（語音助手、聯網家電）

EN 18037:2025的關鍵條款：

1、業(yè)務流程情境化：從分析行業(yè)ICT系統所支持的業(yè)務流程以及各利益相關者相應的業(yè)務目標入手，識別對安全實施至關重要的主要和支持資產。 

2、資產與系統映射：映射利益相關者控制范圍內與保護主要資產相關的ICT系統、產品和流程，并深入研究行業(yè)系統架構以詳細了解其預期用途。

3、網絡威脅情報（CTI）：利用CTI收集有關相關攻擊者類型、其動機和能力的見解，以便優(yōu)先考慮最值得進一步分析的風險場景，優(yōu)化分析資源的使用，并支持定制網絡安全和保障要求的分配。

4、風險評估：根據網絡安全事件對業(yè)務目標的影響以及此類事件發(fā)生的可能性進行風險評估，可能性源于通過CTI確定的攻擊者動機和能力。

5、參考級別：引入了內部風險、安全、保障和攻擊潛力的參考級別系統，這些級別共同支持網絡安全風險定義的一致性，并且符合ISO/IEC 27005的風險數據可以轉移到ISO/IEC 15408系列框架中，用于規(guī)定保障要求，兩者結合能夠對網絡安全和保障需求進行強有力的基于風險的定義。

關注“廣東技術性貿易措施”，獲取更多服務。