欧盟理事会通过了《网络弹性法案》(CRA),这是一项新法律,旨在使含有数字组件的消费产品更加安全使用。
CRA要求
CRA 概述了欧盟范围内针对数字产品的网络安全标准,即直接或间接连接到其他设备或网络的产品。
此类别包括“智能”家电、电视、恒温器、玩具、可穿戴健康技术、婴儿监控系统等。
一些联网产品(例如医疗设备、网络设备、汽车、航空产品、用于国家安全或国防目的的产品)不受 CRA 的约束。
因为现有的欧盟法律已经明确了其网络安全要求。
法律规定:“本法规旨在为具有数字元素的安全产品的开发设定边界条件,确保硬件和软件产品在市场上出现更少的漏洞,并确保制造商在产品的整个生命周期内认真对待安全性。”
它还旨在创造条件,让用户在选择和使用具有数字元素的产品时考虑网络安全,例如提高市场上提供的具有数字元素的产品的支持期透明度。
CRA根据产品的风险分类制定产品的网络安全要求:
网络安全风险较低的产品必须经过基本的合格评定,而风险较高的产品(例如管理关键基础设施或个人数据的产品)也需要更严格的第三方评估和认证。
该法规认识到微型企业和中小型企业面临的特殊挑战,并旨在尽量减轻它们的负担。
例如,微型企业分发的免费和开源软件(尤其是非商业软件)面临的监管义务较少。
为了改进漏洞处理,CRA 要求制造商设立漏洞报告的单一联系点;向指定的计算机安全事件响应小组 (CSIRT) 和欧盟网络安全局 (ENISA) 报告主动利用的漏洞和严重事件;并使用数字元素记录其产品中包含的组件(尽管SBOM不必公开)。
CRA 将由理事会主席和欧洲议会主席签署,并在未来几周内发布在欧盟官方公报上。
新法规将在发布后 20 天生效,并将在生效后 36 个月内适用,但部分条款将在更早阶段适用。
