Trendmicro發佈了一篇歐盟網路韌性法案對製造商的影響
歐盟網路韌性法案(Cyber Resilience Act,簡稱 CRA)是一項法律框架,規定了在歐盟市場上銷售的硬體和軟體產品的網路安全要求。該法案旨在保護消費者和企業使用具有數位元件的產品,例如智慧玩具、家用電器、電視和相機等,免受網路威脅的侵害。
CRA 的主要內容包括:
- 為具有數位元件的產品設定統一的網路安全要求,避免不同歐盟成員國的法規重疊或衝突。
- 建立一套網路安全要求的框架,涵蓋產品的規劃、設計、開發和維護等階段,並要求製造商和零售商在價值鏈的每個環節履行相關義務。
- 要求製造商提供產品的整個生命週期的維護和更新,並及時處理產品的漏洞和風險。
- 提高消費者和企業用戶對產品網路安全性的透明度,讓他們能夠更容易地識別具有適當網路安全特性的產品。
- 建立一個市場監督機制,以執行和檢驗產品的網路安全規範。
CRA 對製造商的影響主要有以下幾點:
- 製造商必須在產品上貼上 CE 標誌,以表示產品符合 CRA 的標準。
- 製造商必須提供產品的網路安全風險評估,發出符合性聲明,並與主管機關合作。
- 製造商必須建立產品的漏洞處理流程,並定期提供產品的安全更新。
- 製造商必須在產品的包裝或說明書上提供產品的網路安全資訊,包括產品的安全等級、安全功能、安全更新期限等。
CRA 預計將於 2024 年初生效,製造商將在法案生效後的 36 個月內適用規則。歐盟委員會將定期檢視和報告法案的執行情況。
CRA 是歐盟 2020 年網路安全戰略的一部分,與其他相關法規,例如 NIS2 框架,相互補充。CRA 適用於所有直接或間接連接到其他裝置或網路的產品,除了一些已經在現有歐盟法規中規定網路安全要求的產品,例如醫療器材、航空產品和汽車。
CRA 的目的是填補、澄清和統一現有的網路安全法規,確保具有數位元件的產品,例如物聯網(IoT)產品,在供應鏈和生命週期中都具有安全性。
CRA 將有助於建立一個安全和可信賴的數位單一市場,保障消費者和企業的權益,並促進歐洲的數位轉型和競爭力。
詳情請看: