欧盟的《网络弹性法案》规定了所有硬件和软件的强制性网络安全要求

《网络弹性法案》（CRA）是欧洲议会和欧洲理事会就即将实施的重要立法达成的政治协议。该法案于 2022 年 9 月由欧洲委员会首次提出，旨在提高数字产品的网络安全，造福整个欧盟的消费者和企业。它为所有硬件和软件引入了成比例的强制性网络安全要求，并根据产品的风险等级设定不同的安全要求。该法案还规定，制造商有法律义务在购买后的数年内为消费者提供及时的安全更新。

这些措施旨在让用户能够做出更加明智和安全的选择，因为制造商将被要求增强对产品安全的透明度和承担更多责任。

达成的协议现在有待欧洲议会和理事会的正式批准。《注册服务法》一经通过，将在《官方公报》上公布后生效。硬件和软件产品的制造商、进口商和分销商将有 36 个月的时间来适应新要求，但制造商对事件和漏洞的报告义务除外，只有 21 个月的宽限期。

欧盟 CRA 旨在应对软件供应链风险

欧盟 CRA 的一个关键激励措施是应对围绕软件供应链的日益增长的安全风险和挑战。欧盟委员会负责价值和透明度的副主席 Věra Jourová 表示：“消费者需要对欧盟市场上的产品感到安全。今天达成一致的《网络弹性法案》将确保我们在家中和工作中使用的数字产品符合严格的网络安全标准。将这些产品投入市场的人应对其安全负责。”

欧盟委员会负责促进我们欧洲生活方式的副主席玛格丽蒂斯・希纳斯（Margaritis Schinas）补充说，CRA 填补了安全规则的空白，确保所有到达欧盟消费者和用户的产品都适用安全设计原则。“新规定要求在欧盟销售的每一款互联产品都必须是安全的，确保我们的企业和家庭变得更加安全。”

关于《网络弹性法案》的争议

自该法案去年宣布以来，它就受到了一些提议的广泛批评。去年 10 月，数十名全球网络安全专家对其漏洞披露要求表示担忧。一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称，关于漏洞披露的规定适得其反，将制造新的威胁，破坏数字产品及其使用者的安全。

今年 7 月，IT 和科技行业团体发布了一份建议清单，敦促共同立法者在确定最终立场时不要将速度置于质量之上，以避免意外后果，并列举了提案中的几个问题方面。

本文作者 Michael Hill ，原文出自：

https://www.cshub.com/threat-defense/news/cyber-resilience-act-agreement-reached-as-eu-legislation-edges-closer

本文由墨菲安全进行翻译转载，观点不代表墨菲安全立场。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析（SCA）等，丰富的安全工具助您打造完备的软件开发安全能力（DevSecOps）。

旗下的安全研究团队墨菲安全实验室，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。