您需要了解的欧盟网络弹性法案

了解CRA包含的内容以及如何遵守。

什么是CRA?

《网络弹性法案》(CRA)是即将出台的欧盟法规,旨在确保在欧盟销售的所有数字产品和服务(如连接到互联网的软件和硬件)都采用强大的网络安全措施。

该法案要求制造商在整个产品生命周期内确保其安全。

CRA适用于哪些人?

CRA适用于所有“带有数字元素的产品”(PDE),包括任何软件或硬件产品及其远程数据处理解决方案。

“远程数据处理”是指任何作为产品核心功能的数据处理(没有它,PDE就无法实现其功能),并由PDE制造商开发。

PDE可以源自:

软件开发商:创建软件应用程序和系统的公司或个人。
硬件制造商:生产带有数字组件的物理设备(例如物联网设备、智能手机和计算机)的制造商。
服务提供商:云解决方案只有符合法规定义时才构成远程数据处理解决方案。例如,使用云托管平台进行远程控制的智能家居设备属于法规范围。

根据现有法规,某些行业(例如专业医疗设备、机动车辆、民航系统和船舶设备)不属于CRA范围。

CRA何时实施?

欧洲议会(EP)于2024年3月12日通过了CRA最终文本的“临时”版本。

然而,这仍然不是该文件的最终版本。CRA的正式签署和发布预计将在2024年10月左右进行。

一旦最终文本正式通过,大部分内容将在三年后(约2027年10月)生效。

但是,事故报告要求将在颁布两年后(2026年10月)对制造商适用。

在CRA实施日期之前,欧盟将制定协调标准,以便制造商更好地进行合格评定。欧盟委员会还将发布指南,协助公司应用CRA。

CRA的要求是什么?

根据附件1,CRA安全要求分为两部分:

第1部分–与具有数字元素(PDE)的产品属性相关的安全要求

1. PDE的设计、开发和生产应根据其面临的风险,确保适当的网络安全水平。

2. 在适用的情况下,含有数字元素的产品应:

采用安全的默认配置进行销售
防止未经授权的访问
保护其处理的数据的机密性和完整性,将数据限制在必要的最低限度
和更多

第2部分-漏洞处理要求

1. 识别并记录PDE组件及其漏洞。立即解决漏洞。
2. 定期测试和审查PDE的安全性。
3. 制定全面的漏洞处理计划,其中包含:

自动安全更新,及时修复漏洞
提供相关信息的咨询信息
漏洞报告平台
漏洞披露政策

制造商的义务是什么?

该文件第10条描述了制造商在上述要求方面的义务。

要将PDE投放市场,制造商需要制定PDE风险评估,并定期记录和更新。

评估需要包括以下内容:

根据PDE的目的、用途和环境对网络风险进行分析。
第1部分第3点的要求适用于PDE。
制造商将如何应用第1部分第1点,以及他们将如何处理第2部分的漏洞要求。

当将PDE投放到市场时,制造商应将此信息包含在产品的技术文档中。

除了风险评估之外:

制造商必须验证第三方组件(包括开源组件)的完整性,以免危及PDE的安全性。
制造商应该在PDE投放市场之前和之后的整个支持期内处理其漏洞。

报告安全事件

该文件的第11条规定了PDE中的事件报告指南。

制造商必须在指定时间范围内(初始警报为24小时,详细报告为72小时,最终报告为14天)通过单一报告平台向指定的CSIRT(计算机安全事件响应小组)协调员和ENISA(欧洲网络安全局)通报其产品中任何被主动利用的漏洞。

同样,严重安全事件也必须在24小时内报告初步警报,72小时内报告详细信息,并在一个月内报告全面的最终报告,并通过同一平台向CSIRT和ENISA提交通知。

产品分类

默认类别:包括所有不属于高风险类别的含有数字元素的产品。此类别的产品通常需要制造商进行自我评估。

重要产品(第一类和第二类):

I类:这些产品很重要,但不是关键产品。与默认类别相比,它们可能需要更严格的自我评估和记录。

II类:这些产品比I类产品更为关键,通常需要第三方评估以确保符合要求。

关键产品:这些产品在网络安全漏洞和潜在影响方面的风险最高。它们必须遵守最严格的合格评定程序,包括强制性的第三方评估和可能更频繁的重新评估

合格评定

CRA下的合格评定流程旨在验证产品是否符合指定的网络安全要求。评估的复杂性取决于产品的分类。以下是所涉及的步骤:

1. 自我评估:对于不太重要的产品,制造商可以进行自我评估,以证明其符合CRA的要求。这涉及创建一份技术文档文件,概述产品如何满足必要的网络安全标准。

2. 第三方评估:对于更关键的产品,必须由独立的第三方合格评定机构(公告机构)进行评估。这确保对产品的安全特性进行公正的评估,并符合CRA的要求

3. 持续合规:制造商还必须通过定期更新产品来应对新的漏洞和威胁,从而确保持续合规。这可能包括由制造商或第三方进行的定期重新评估,具体取决于产品类别。

不合规处罚

不遵守CRA规定可能会招致巨额罚款。

制造商和其他利益相关者可能面临高达1500万欧元或全球年营业额2.5%的罚款(以较高者为准)。

向监管机构提供不准确或误导性信息也会受到特定处罚。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/871795.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【数据结构与算法】选择排序篇----详解直接插入排序和哈希排序【图文讲解】

欢迎来到CILMY23的博客 🏆本篇主题为:【数据结构与算法】选择排序篇----详解直接插入排序和哈希排序 🏆个人主页:CILMY23-CSDN博客 🏆系列专栏:Python | C | C语言 | 数据结构与算法 | 贪心算法 | Linux…

Chrome浏览器的Profile数据内容简介

前文简介了Chrome存储的账密/Cookie数据:一段代码读取Chrome存储的所有账号密码和Cookie 本文再扩展介绍一下Chrome存储的其它一些隐私数据。 注:因为业务需要,简单调研了一些基本内容和存储路径,没有深入去研究,有啥…

新160个crackme - 002-abexcm5

运行分析 猜测需要输入正确序列号 PE分析 32位,ASM程序,无壳 静态分析 ida shift F12 ,发现字符串定位主函数 分析主函数 lstrcat:拼接字符串 lstrcmpiA:比较字符串 动态调试 serial输入123456调试 发现序列号…

Codeforces Round 957 (Div. 3)(A~D题)

A. Only Pluses 思路: 优先增加最小的数&#xff0c;它们的乘积会是最优,假如只有两个数a和b&#xff0c;b>a&#xff0c;那么a 1&#xff0c;就增加一份b。如果b 1&#xff0c;只能增加1份a。因为 b > a&#xff0c;所以增加小的数是最优的。 代码: #include<bi…

Spring Boot集成groovy快速入门Demo

1.什么是groovy&#xff1f; Groovy 是构建在 JVM 上的一个轻量级却强大的动态语言&#xff0c;它结合了 Python、Ruby 和 Smalltalk 的许多强大的特性。 Groovy 就是用 Java 写的&#xff0c;Groovy 语法与 Java 语法类似&#xff0c;Groovy 代码能够与 Java 代码很好地结合&…

STM32MP135裸机编程:定时器内核时钟频率计算方法

0 工具准备 STM32MP13xx参考手册 1 定时器内核时钟频率计算方法 1.1 定时器分组 STM32MP135的定时器按照时钟源不同分成了三组&#xff0c;如下&#xff1a; APB1: APB2: APB6&#xff1a; 1.2 定时器内核时钟频率计算方法 APB1DIV是APB1的分频系数&#xff0c;APB2DIV、…

python双下划线怎么打

连续按键盘上的“shift_”键两次即可&#xff0c;不同编辑器可能显示会不太一样。像图1中那样没连起来也是对的&#xff0c;没有语法错误。

基于python豆瓣电影爬虫数据可视化分析推荐系统(完整系统源码+数据库+详细文档+论文+详细部署教程)

文章目录 基于python豆瓣电影爬虫数据可视化分析推荐系统&#xff08;完整系统源码数据库详细文档论文详细部署教程&#xff09;一、 选题背景二、研究目的三、开发技术介绍1、Django框架2、LDA3、机器学习推荐算法4、大数据爬虫5、大数据Echarts可视化 四、系统设计思想五、部…

C++ | Leetcode C++题解之第235题二叉搜索树的最近公共祖先

题目&#xff1a; 题解&#xff1a; class Solution { public:TreeNode* lowestCommonAncestor(TreeNode* root, TreeNode* p, TreeNode* q) {TreeNode* ancestor root;while (true) {if (p->val < ancestor->val && q->val < ancestor->val) {anc…

贪心算法案例

1.买卖股票的最佳时机 给定一个数组 prices &#xff0c;它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。 你只能选择 某一天 买入这只股票&#xff0c;并选择在 未来的某一个不同的日子 卖出该股票。设计一个算法来计算你所能获取的最大利润。 返回你可以从这笔…

代码随想录算法训练营第31天|LeetCode 56. 合并区间、738.单调递增的数字、968.监控二叉树

1. LeetCode 56. 合并区间 题目链接&#xff1a;https://leetcode.cn/problems/merge-intervals/description/ 文章链接&#xff1a;https://programmercarl.com/0056.合并区间.html 视频链接&#xff1a;https://www.bilibili.com/video/BV1wx4y157nD 思路&#xff1a; 本题关…

SpringBoot新手快速入门系列教程十一:自动生成API文档,Springboot3.x集成SpringDoc

本次项目我们用Maven来做&#xff0c;最近发现gradle其实很多项目的支持比较差&#xff0c;所以项目还是用Maven来新建项目。对比了市面上的几种API生成第三方库&#xff0c;只有springdoc 是能够按照文档就能部署出来的。 官网&#xff1a; OpenAPI 3 Library for spring-bo…

链接追踪系列-04.linux服务器docker安装elk

[rootVM-24-17-centos ~]# cat /proc/sys/vm/max_map_count 65530 [rootVM-24-17-centos ~]# sysctl -w vm.max_map_count262144 vm.max_map_count 262144 #先创建出相应目录&#xff1a;/opt/dockerV/es/…docker run -e ES_JAVA_OPTS"-Xms512m -Xmx512m" -d -p 92…

【流媒体】 通过ffmpeg硬解码拉流RTSP并播放

简介 目前RTSP拉流是网络摄像头获取图片数据常用的方法&#xff0c;但通过CPU软解码的方式不仅延时高且十分占用资源&#xff0c;本文提供了一种从网络摄像头RTSP硬解码的拉流的方法&#xff0c;并且提供python代码以便从网络摄像头获取图片进行后续算法处理。 下载ffmpeg F…

2024-07-15 Unity插件 Odin Inspector3 —— Button Attributes

文章目录 1 说明2 Button 特性2.1 Button2.2 ButtonGroup2.3 EnumPaging2.4 EnumToggleButtons2.5 InlineButton2.6 ResponsiveButtonGroup 1 说明 ​ 本章介绍 Odin Inspector 插件中有关 Button 特性的使用方法。 2 Button 特性 2.1 Button 依据方法&#xff0c;在 Inspec…

QT控件篇三

一、微调框 微调框&#xff08;QSpinBox&#xff09;是一个常用的Qt控件&#xff0c;允许用户通过增加或减少值来输入数字。分为两种, 整型-QSpinBox 浮点 QDoubleSpinBoxQSpinBox&#xff08;微调框&#xff09;的 setSingleStep 函数可以用来设置每次调整的步长&#xff08;…

【人工智能】人工智能与传统美工结合,AI美工的详细解析。

AI美工是一个结合了人工智能技术与美工设计的岗位&#xff0c;它利用AI工具和技术来辅助或完成美工设计的各项工作。以下是对AI美工的详细解析&#xff1a; 一、定义与职责 AI美工是指能够熟练使用AI工具和技术&#xff0c;如Midjourney、StableDiffusion等AIGC&#xff08;人…

2024安全行业大模型技术应用态势发展报告

以上是资料简介和目录&#xff0c;如需下载&#xff0c;请前往星球获取&#xff1a;https://t.zsxq.com/dH9bu

Python爬虫入门篇学习记录

免责声明 本文的爬虫知识仅用于合法和合理的数据收集&#xff0c;使用者需遵守相关法律法规及目标网站的爬取规则&#xff0c;尊重数据隐私&#xff0c;合理设置访问频率&#xff0c;不得用于非法目的或侵犯他人权益。因使用网络爬虫产生的任何法律纠纷或损失&#xff0c;由使用…

计算机网络之网络互连

1.什么是网络互连 1.1网络互连的目的 将两个或者两个以上具有独立自治能力的计算机网络连接起来&#xff0c;实现数据流通&#xff0c;扩大资源共享范围&#xff0c;或者容纳更多用户。 网络互连包括&#xff1a; 同构网络、异构网络的互连&#xff0c; 局域网与局域网&…