《网络弹性法案》(Cyber Resilience Act,CRA)是欧盟于2024年通过的一项重要网络安全立法,旨在提升联网数字产品的安全性,减少漏洞,并确保产品在整个生命周期内得到适当的安全维护。以下是对该法案的详细介绍:
一、背景与目的
背景:随着物联网(IoT)设备的普及和数字经济的发展,网络安全问题日益凸显。每年欧盟因数据泄露造成的损失巨大,且软件供应链遭受的网络攻击数量不断增加。
目的:CRA旨在通过设定最低安全要求,确保联网数字产品在设计、开发、生产、销售和维护的整个生命周期内具备足够的网络弹性,从而保护消费者和企业免受网络安全威胁。
二、主要内容
适用范围:
CRA适用于所有在欧盟市场销售的大多数带有数字元素的硬件和软件产品,包括但不限于智能家居设备、工业物联网设备、软件、移动应用等。
豁免范围包括医疗设备、民用航空器、机动车辆等已有专门法规监管的领域,以及非商业用途的开源软件。
安全要求:
基本网络安全要求:产品在设计、开发和生产阶段必须满足安全默认配置、漏洞防护、数据保护等基本要求。
漏洞管理:制造商必须建立并遵守漏洞处理流程,包括及时发布安全更新、提供漏洞披露政策等。
安全支持周期:制造商必须明确并公开产品的安全支持期限,通常不得少于5年,并在支持期内免费提供安全更新。
报告义务:
制造商在发现产品存在可被积极利用的安全漏洞或发生安全事件后,必须在24小时内向相关当局(如CSIRT)和欧盟网络安全局(ENISA)报告。
CE标志:
符合CRA要求的产品必须加贴CE标志,以表明其符合欧盟法规。
三、实施与影响
实施时间表:
CRA于2024年12月10日正式生效。
主要条款将于2027年12月11日起全面实施。
漏洞及事故报告义务将分阶段提前实施,自2026年9月11日起生效。
影响范围:
CRA将影响所有在欧盟市场销售联网数字产品的制造商、进口商和分销商。
企业需要投入更多资源来确保产品符合CRA要求,包括进行安全评估、建立漏洞管理流程、提供安全更新等。
合规挑战:
企业需要全面审视其产品合规策略,将网络安全、功能安全和能效要求整合到产品设计和质量管理体系中。
企业需要建立或完善安全开发生命周期、漏洞管理政策和协调漏洞披露(CVD)流程。
四、处罚措施
对于违反CRA要求的企业,将面临严厉的处罚措施,包括高额罚款和产品下架或召回等。
罚款金额根据违法行为的性质和严重程度而定,最高可达1500万欧元或违法者全球营业额的2.5%。
