了解CRA包含的内容以及如何遵守。
什么是CRA?
《网络弹性法案》(CRA)是即将出台的欧盟法规,旨在确保在欧盟销售的所有数字产品和服务(如连接到互联网的软件和硬件)都采用强大的网络安全措施。
该法案要求制造商在整个产品生命周期内确保其安全。
CRA适用于哪些人?
CRA适用于所有“带有数字元素的产品”(PDE),包括任何软件或硬件产品及其远程数据处理解决方案。
“远程数据处理”是指任何作为产品核心功能的数据处理(没有它,PDE就无法实现其功能),并由PDE制造商开发。
PDE可以源自:
软件开发商:创建软件应用程序和系统的公司或个人。
硬件制造商:生产带有数字组件的物理设备(例如物联网设备、智能手机和计算机)的制造商。
服务提供商:云解决方案只有符合法规定义时才构成远程数据处理解决方案。例如,使用云托管平台进行远程控制的智能家居设备属于法规范围。
根据现有法规,某些行业(例如专业医疗设备、机动车辆、民航系统和船舶设备)不属于CRA范围。
CRA何时实施?
欧洲议会(EP)于2024年3月12日通过了CRA最终文本的“临时”版本。
然而,这仍然不是该文件的最终版本。CRA的正式签署和发布预计将在2024年10月左右进行。
一旦最终文本正式通过,大部分内容将在三年后(约2027年10月)生效。
但是,事故报告要求将在颁布两年后(2026年10月)对制造商适用。
在CRA实施日期之前,欧盟将制定协调标准,以便制造商更好地进行合格评定。欧盟委员会还将发布指南,协助公司应用CRA。
CRA的要求是什么?
根据附件1,CRA安全要求分为两部分:
第1部分–与具有数字元素(PDE)的产品属性相关的安全要求
1. PDE的设计、开发和生产应根据其面临的风险,确保适当的网络安全水平。
2. 在适用的情况下,含有数字元素的产品应:
采用安全的默认配置进行销售
防止未经授权的访问
保护其处理的数据的机密性和完整性,将数据限制在必要的最低限度
和更多
第2部分-漏洞处理要求
1. 识别并记录PDE组件及其漏洞。立即解决漏洞。
2. 定期测试和审查PDE的安全性。
3. 制定全面的漏洞处理计划,其中包含:
自动安全更新,及时修复漏洞
提供相关信息的咨询信息
漏洞报告平台
漏洞披露政策
制造商的义务是什么?
该文件第10条描述了制造商在上述要求方面的义务。
要将PDE投放市场,制造商需要制定PDE风险评估,并定期记录和更新。
评估需要包括以下内容:
根据PDE的目的、用途和环境对网络风险进行分析。
第1部分第3点的要求适用于PDE。
制造商将如何应用第1部分第1点,以及他们将如何处理第2部分的漏洞要求。
当将PDE投放到市场时,制造商应将此信息包含在产品的技术文档中。
除了风险评估之外:
制造商必须验证第三方组件(包括开源组件)的完整性,以免危及PDE的安全性。
制造商应该在PDE投放市场之前和之后的整个支持期内处理其漏洞。
报告安全事件
该文件的第11条规定了PDE中的事件报告指南。
制造商必须在指定时间范围内(初始警报为24小时,详细报告为72小时,最终报告为14天)通过单一报告平台向指定的CSIRT(计算机安全事件响应小组)协调员和ENISA(欧洲网络安全局)通报其产品中任何被主动利用的漏洞。
同样,严重安全事件也必须在24小时内报告初步警报,72小时内报告详细信息,并在一个月内报告全面的最终报告,并通过同一平台向CSIRT和ENISA提交通知。
产品分类
默认类别:包括所有不属于高风险类别的含有数字元素的产品。此类别的产品通常需要制造商进行自我评估。
重要产品(第一类和第二类):
I类:这些产品很重要,但不是关键产品。与默认类别相比,它们可能需要更严格的自我评估和记录。
II类:这些产品比I类产品更为关键,通常需要第三方评估以确保符合要求。
关键产品:这些产品在网络安全漏洞和潜在影响方面的风险最高。它们必须遵守最严格的合格评定程序,包括强制性的第三方评估和可能更频繁的重新评估
合格评定
CRA下的合格评定流程旨在验证产品是否符合指定的网络安全要求。评估的复杂性取决于产品的分类。以下是所涉及的步骤:
1. 自我评估:对于不太重要的产品,制造商可以进行自我评估,以证明其符合CRA的要求。这涉及创建一份技术文档文件,概述产品如何满足必要的网络安全标准。
2. 第三方评估:对于更关键的产品,必须由独立的第三方合格评定机构(公告机构)进行评估。这确保对产品的安全特性进行公正的评估,并符合CRA的要求
3. 持续合规:制造商还必须通过定期更新产品来应对新的漏洞和威胁,从而确保持续合规。这可能包括由制造商或第三方进行的定期重新评估,具体取决于产品类别。
不合规处罚
不遵守CRA规定可能会招致巨额罚款。
制造商和其他利益相关者可能面临高达1500万欧元或全球年营业额2.5%的罚款(以较高者为准)。
向监管机构提供不准确或误导性信息也会受到特定处罚。