一文读懂 | 欧盟《网络弹性法案》（CRA）

2024年10月10日，欧盟通过了《网络弹性法案》（CRA），以加强联网设备的网络安全。该法案已于2024年11月正式发布，为在欧盟境内生产、进口或销售的数字产品制定了强制性安全要求，确保硬件和软件产品在上市时具有更少的漏洞，并要求制造商在整个产品生命周期内严肃对待安全问题。

一、 欧盟网络弹性法案要点：

1. 适用范围广泛： CRA适用于所有具有数字元素并能直接或间接连接到设备或网络的产品，包括软件、硬件及其远程数据处理解决方案。但医疗设备、航空、汽车等已有特定行业法规的产品除外。
2. 双重核心义务：
   • 产品安全属性： 产品在设计、开发和生产阶段必须满足基本网络安全要求，如安全默认配置、漏洞防护、数据保护等。
   • 漏洞管理流程： 制造商必须在产品的“支持周期”内建立并遵守漏洞处理流程，包括及时发布安全更新、提供漏洞披露政策等。
3. 产品分类与合规路径： 根据产品的关键程度，CRA将产品分为两类：
   • 重要产品（Annex III）： 如操作系统、路由器、智能家居设备、防火墙等。此类产品需进行更严格的符合性评估。
   • 关键产品（Annex IV）： 如硬件安全模块、智能电表网关等。此类产品未来可能被要求通过欧盟网络安全认证计划进行认证。
4. 制造商关键责任：
   • 支持周期： 必须明确并公开产品的安全支持期限，通常不得少于5年。
   • 安全更新： 在支持期内免费提供安全更新，并默认启用自动更新功能（用户可关闭）。
   • 事件报告： 发现被主动利用的漏洞或严重影响产品安全的严重事件时，必须在24小时内向相关当局（CSIRT）和欧盟网络安全局（ENISA）报告。
   • CE标志： 符合CRA要求的产品必须加贴CE标志，表明其符合欧盟法规。
5. 生效时间表：
   • 2026年6月起： 开始实施符合性评估机构的指定规则。
   • 2026年9月起： 制造商的安全事件和漏洞报告义务生效。
   • 2027年12月起： CRA全面生效，此后在欧盟市场上市的所有适用产品必须完全合规。

二、 对企业的影响与行动建议

1. 制造商：
   • 立即行动： 对照CRA要求，评估现有和计划中产品的合规差距。
   • 完善流程： 建立或完善安全开发生命周期、漏洞管理政策和协调漏洞披露（CVD）流程。
   • 文档准备： 开始准备技术文档、网络安全风险评估报告和欧盟符合性声明。
   • 规划支持周期： 为每个产品确定并规划至少5年的安全支持周期。
2. 进口商与分销商： 需确保其投放市场的产品已符合CRA要求，并具有CE标志和必要的文档。他们同样负有市场监督责任。

三、 全球网络安全监管趋势

CRA的出台是全球网络安全监管强化趋势的显著体现。它与此前已发布的澳大利亚《2025年智能设备网络安全规则》等法规相呼应，共同强调了对产品全生命周期安全的要求。与此同时，各国在传统产品安全领域和能效标准领域的法规也在不断演进。企业需要以全局视角审视其产品合规策略，将网络安全、功能安全和能效要求整合到产品设计和质量管理体系中。

Intertek网络安全服务

Intertek可以根据网络安全相关法规或组织的特定需求量身定制解决方案，包括但不限于数据加密、防火墙、漏洞监控、渗透测试和入侵检测等方面，确保联网设备的网络与数据安全。不仅如此，Intertek还将与您的团队合作，将网络安全要求纳入开发过程，帮助产品更快、更好的符合相关法规的要求，助力企业全面实施网络安全解决方案，保护其电子信息资产。

点击查询Intertek网络安全服务详情