“网络韧性法案”(Cyber Resilience Act,CRA)是欧盟委员会于2022年9月15日提出的一项重要立法提案,旨在提升整个欧盟内部联网设备和数字产品的网络安全水平,确保消费者和企业能够使用更安全的产品和服务。
一、立法背景
在当今数字化世界中,越来越多的设备(如智能手机、路由器、智能家电、工业物联网等)都连接到互联网。这些设备如果存在漏洞,不仅会危害个人隐私,还可能成为攻击企业、政府甚至整个基础设施的入口。欧盟认为现有的立法如《网络安全法》(NIS)、《一般数据保护条例》(GDPR)并不足以全面应对产品本身的网络风险,因此有必要设立一部专门针对**“带数字元素的产品”**的强制性法规。
二、适用范围
Cyber Resilience Act 适用于所有带有数字组件、直接或间接连接互联网的产品,包括但不限于:
- 智能家居产品(如智能门锁、摄像头、洗衣机)
- 网络设备(如路由器、调制解调器)
- 软件产品(如操作系统、办公软件)
- 工业控制系统(如PLC、SCADA系统)
三、核心要求
CRA 对制造商提出了以下主要义务:
- 安全设计和开发
所有产品在投放市场前,必须考虑并内建网络安全机制,避免已知漏洞。 - 漏洞处理机制
制造商必须建立漏洞披露和修复流程,产品发布后至少提供五年的安全支持(除非预期寿命更短)。 - CE 标志合规性要求
所有产品必须进行合规评估,并打上符合 CRA 要求的 CE 标志。 - 通知义务
一旦发现已上市产品存在严重漏洞,制造商需在 24 小时内向 ENISA(欧盟网络安全局)通报。 - 技术文档要求
产品必须附有详细的技术文档,包括风险评估、安全更新流程等。
四、实施时间表(截至2025年情况)
- 2022年9月:欧盟委员会正式发布立法草案
- 2024年12月(预计):正式立法通过并公布
- 过渡期:36个月
制造商需在法规生效后 3 年内完成合规准备,也就是预计2027年底强制执行
五、影响分析
对企业的影响:
- 提高合规成本:需投入更多资源进行产品安全设计、测试、文档管理。
- 推动数字产品更新:促进厂商提供长期安全支持,不再“一次性卖断”。
- 增强品牌信誉:符合法规的产品在市场上更具竞争力。
对消费者的影响:
- 增强用户安全保障:更少出现“买了即被黑”的产品。
- 获得更长时间的安全更新支持。
六、与其他法规的关系
CRA 补充了以下欧盟已有法规:
- 《NIS2 指令》(网络与信息安全)
- 《通用产品安全法规》(GPSR)
- 《无线设备指令》(RED)
- 《一般数据保护条例》(GDPR)
CRA 着重在于产品本身的安全性要求,而非使用过程中的数据保护。
Views: 155