关于欧盟网络弹性法案的合规解读
一、法规背景
从婴儿监视器到智能手表,从应用程序到计算机软件,可连接的硬件和软件产品已广泛融入日常生活。然而,这类产品可能带来的网络安全风险往往容易被用户忽视。
欧盟《网络弹性法案》(Cyber Resilience Act)对硬件和软件产品引入了强制性的网络安全要求,旨在应对当前产品普遍存在的网络安全水平不足及安全更新不及时等问题,并确保相关产品在其整个生命周期内维持较高的网络安全水平。
该法案已于2024年12月10日起生效,并将自2027年12月11日起全面适用。其中,关于漏洞利用和严重事件的报告义务,将于2026年9月11日起适用。
二、适用产品范围
CRA适用于含数字元素的产品,包括直接或间接连接到其他设备或网络的产品。
主要包括但不限于:
1、硬件产品,可连接到互联网或其他网络的设备,例如:
2、软件产品,包括可安装在硬件上或独立运行的应用程序,例如消费者应用程序、操作系统等。
CRA不适用于以下产品:
此外,对于已受其他欧盟法规监管且相关法规已涵盖网络安全风险的产品,CRA的适用范围可能被部分限制或排除,前提是该等法规能够提供同等或更高水平的网络安全保护。
三、漏洞与严重事件报告义务
自2026年9月11日起,如果具有数字元素的产品发生严重事件或存在被主动利用的漏洞,制造商须在24小时内向欧盟网络安全局 (ENISA)及国家计算机安全事件响应小组(CSIRT)报告。
报告流程包含三个阶段:
此外,制造商还将被要求在不无故拖延的前提下,向受影响的受规管产品的用户发出通知。对于已投放市场且包含数字元素的产品,如果制造商仍对其提供支持,也需要从2026年9月11日起适用报告义务。
四、制造商/分销商应重点关注的要求
如果您是制造商,自 2027年12月11日起,必须遵守CRA的要求。包括但不限于:
1. 评估产品的网络安全风险,并在产品的设计、开发、生产、交付及维护等各阶段采取措施降低相关风险;
2. 确保产品符合CRA附件一的基本网络安全要求;
3. 准备相关技术文件,对产品进行符合性评估,并在产品上展示 CE 标志。对于 “关键产品”和“重要产品”,适用情况下需要引入第三方机构参与符合性评估;
4. 在产品支持期内,对已识别的漏洞和/或问题采取措施予以修复;
5. 确保产品随附必要的文件和使用说明等。
如果您是分销商,请注意自2027年12月11日起,确保产品符合CRA的要求。包括但不限于:
未经东莞市雅玛森商务咨询有限公司许可不得以任何形式进行转载 转载请联系:18681071148
