您需要相识的欧盟网络弹性法案

相识CRA包含的内容以及如何遵守。
什么是CRA？
《网络弹性法案》（CRA）是即将出台的欧盟法规，旨在确保在欧盟销售的全部数字产品和服务（如连接到互联网的软件和硬件）都接纳强大的网络安全措施。
该法案要求制造商在整个产品生命周期内确保其安全。
CRA实用于哪些人？
CRA实用于全部“带有数字元素的产品”（PDE），包括任何软件或硬件产品及其远程数据处明白决方案。
“远程数据处置惩罚”是指任何作为产品核心功能的数据处置惩罚（没有它，PDE就无法实现其功能），并由PDE制造商开发。
PDE可以源自：
软件开发商：创建软件应用步伐和系统的公司或个人。
硬件制造商：生产带有数字组件的物理设备（例如物联网设备、智能手机和计算机）的制造商。
服务提供商：云解决方案只有符合法规定义时才构成远程数据处明白决方案。例如，利用云托管平台进行远程控制的智能家居设备属于法规范围。
根据现有法规，某些行业（例如专业医疗设备、机动车辆、民航系统和船舶设备）不属于CRA范围。
CRA何时实施？
欧洲议会(EP)于2024年3月12日通过了CRA最终文本的“临时”版本。
然而，这仍旧不是该文件的最终版本。CRA的正式签署和发布预计将在2024年10月左右进行。
一旦最终文本正式通过，大部分内容将在三年后（约2027年10月）生效。
但是，事故陈诉要求将在颁布两年后（2026年10月）对制造商实用。
在CRA实施日期之前，欧盟将制定协调尺度，以便制造商更好地进行及格评定。欧盟委员会还将发布指南，协助公司应用CRA。
CRA的要求是什么？
根据附件1，CRA安全要求分为两部分：
第1部分–与具有数字元素(PDE)的产品属性相关的安全要求
1. PDE的设计、开发和生产应根据其面临的风险，确保得当的网络安全水平。
2. 在实用的情况下，含有数字元素的产品应：
接纳安全的默认配置进行销售
防止未经授权的访问
掩护其处置惩罚的数据的秘密性和完整性，将数据限制在必要的最低限度
和更多
第2部分-漏洞处置惩罚要求
1. 辨认并记载PDE组件及其漏洞。立刻解决漏洞。
2. 定期测试和检察PDE的安全性。
3. 制定全面的漏洞处置惩罚计划，此中包含：
主动安全更新，实时修复漏洞
提供相关信息的咨询信息
漏洞陈诉平台
漏洞披露政策
制造商的任务是什么？
该文件第10条形貌了制造商在上述要求方面的任务。
要将PDE投放市场，制造商需要制定PDE风险评估，并定期记载和更新。
评估需要包括以下内容：
根据PDE的目标、用途和情况对网络风险进行分析。
第1部分第3点的要求实用于PDE。
制造商将如何应用第1部分第1点，以及他们将如何处置惩罚第2部分的漏洞要求。
当将PDE投放到市场时，制造商应将此信息包含在产品的技能文档中。
除了风险评估之外：
制造商必须验证第三方组件（包括开源组件）的完整性，以免危及PDE的安全性。
制造商应该在PDE投放市场之前和之后的整个支持期内处置惩罚其漏洞。
陈诉安全事件
该文件的第11条规定了PDE中的事件陈诉指南。
制造商必须在指定时间范围内（初始警报为24小时，详细陈诉为72小时，最终陈诉为14天）通过单一陈诉平台向指定的CSIRT（计算机安全事件响应小组）协调员和ENISA（欧洲网络安全局）通报其产品中任何被主动利用的漏洞。
同样，严峻安全事件也必须在24小时内陈诉开端警报，72小时内陈诉详细信息，并在一个月内陈诉全面的最终陈诉，并通过同一平台向CSIRT和ENISA提交通知。
产品分类
默认类别：包括全部不属于高风险类别的含有数字元素的产品。此类别的产品通常需要制造商进行自我评估。
紧张产品（第一类和第二类）：
I类：这些产品很紧张，但不是关键产品。与默认类别相比，它们可能需要更严酷的自我评估和记载。
II类：这些产品比I类产品更为关键，通常需要第三方评估以确保符合要求。
关键产品：这些产品在网络安全漏洞和潜伏影响方面的风险最高。它们必须遵守最严酷的及格评定步伐，包括强制性的第三方评估和可能更频繁的重新评估
及格评定
CRA下的及格评定流程旨在验证产品是否符合指定的网络安全要求。评估的复杂性取决于产品的分类。以下是所涉及的步骤：
1. 自我评估：对于不太紧张的产品，制造商可以进行自我评估，以证明其符合CRA的要求。这涉及创建一份技能文档文件，概述产品如何满意必要的网络安全尺度。
2. 第三方评估：对于更关键的产品，必须由独立的第三方及格评定机构（公告机构）进行评估。这确保对产品的安全特性进行公正的评估，并符合CRA的要求
3. 持续合规：制造商还必须通过定期更新产品来应对新的漏洞和威胁，从而确保持续合规。这可能包括由制造商或第三方进行的定期重新评估，具体取决于产品类别。
不合规处罚
不遵守CRA规定可能会招致巨额罚款。
制造商和其他长处相关者可能面临高达1500万欧元或全球年营业额2.5%的罚款（以较高者为准）。
向羁系机构提供不正确或误导性信息也会受到特定处罚。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。