廣東
一、法規背景
從嬰兒監視器到智能手表,從應用程序到計算機軟件,可連接的硬件和軟件產品已廣泛融入日常生活。然而,這類產品可能帶來的網絡安全風險往往容易被用戶忽視。
歐盟《網絡彈性法案》(Cyber Resilience Act)對硬件和軟件產品引入了強制性的網絡安全要求,旨在應對當前產品普遍存在的網絡安全水平不足及安全更新不及時等問題,并確保相關產品在其整個生命周期內維持較高的網絡安全水平。
該法案已于2024年12月10日起生效,并將自2027年12月11日起全面適用。其中,關于漏洞利用和嚴重事件的報告義務,將于2026年9月11日起適用。
二、適用產品范圍
CRA適用于含數字元素的產品,包括直接或間接連接到其他設備或網絡的產品。
主要包括但不限于:
1、硬件產品,可連接到互聯網或其他網絡的設備,例如:
- 智能家居產品:智能手機、筆記本電腦、平板電腦、智能恒溫器、智能冰箱、攝像頭、智能門鈴等;
- 可穿戴設備:健身追蹤器、智能手表等;
- 工業物聯網設備:傳感器、聯網機械設備等
2、軟件產品,包括可安裝在硬件上或獨立運行的應用程序,例如消費者應用程序、操作系統等。
CRA不適用于以下產品:
- 已由特定歐盟法規全面監管的產品,如醫療器械、體外診斷設備、機動車、民航設備及海事設備等;
- 專門為國家安全或國防目的開發,或用于處理機密信息的產品;
- 用于替換現有產品中相同組件、且規格一致的備件。
此外,對于已受其他歐盟法規監管且相關法規已涵蓋網絡安全風險的產品,CRA的適用范圍可能被部分限制或排除,前提是該等法規能夠提供同等或更高水平的網絡安全保護。
三、漏洞與嚴重事件報告義務
自2026年9月11日起,如果具有數字元素的產品發生嚴重事件或存在被主動利用的漏洞,制造商須在24小時內向歐盟網絡安全局 (ENISA)及國家計算機安全事件響應小組(CSIRT)報告。
報告流程包含三個階段:
- 初步通報(24小時內):提供受影響產品的初步信息、漏洞的性質以及潛在影響。
- 后續報告(72小時內):隨著更多詳細技術信息的獲取,及時予以補充通報。
- 最終報告(14天內):對于被實際利用的漏洞,應在14日內提交最終報告;對于嚴重安全事件,應在一個月內提交最終報告。
此外,制造商還將被要求在不無故拖延的前提下,向受影響的受規管產品的用戶發出通知。對于已投放市場且包含數字元素的產品,如果制造商仍對其提供支持,也需要從2026年9月11日起適用報告義務。
四、制造商/分銷商應重點關注的要求
如果您是制造商,自 2027年12月11日起,必須遵守CRA的要求。包括但不限于:
1. 評估產品的網絡安全風險,并在產品的設計、開發、生產、交付及維護等各階段采取措施降低相關風險;
2. 確保產品符合CRA附件一的基本網絡安全要求;
3. 準備相關技術文件,對產品進行符合性評估,并在產品上展示 CE 標志。對于 “關鍵產品”和“重要產品”,適用情況下需要引入第三方機構參與符合性評估;
4. 在產品支持期內,對已識別的漏洞和/或問題采取措施予以修復;
5. 確保產品隨附必要的文件和使用說明等。
如果您是分銷商,請注意自2027年12月11日起,確保產品符合CRA的要求。包括但不限于:
- 核查產品已展示 CE 標志;
- 核實制造商已履行相關義務,并已提供必要的文件和信息;
- 在產品投放市場后,如發現不合規情況,應配合采取措施,包括必要時下架或召回產品;
- 如發現產品存在漏洞或重大網絡安全風險,應無不當延遲地通知制造商及相關市場監管機構;
- 根據要求向市場監管機構提供相關信息和文件,并予以配合。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
