Cyber resilience act

《网络安全弹性法案》

产品网络安全的新时代

产品网络安全的新时代

《网络安全弹性法案》(CRA)预计在2024年4月迎来投票,随后将实施为期三年的过渡期。该法案为欧盟内具备数字功能的硬件与软件产品确立了网络安全标准。

随着CRA的正式实施,欧盟市场上的硬件和软件产品制造商、进口商和分销商将有36个月的时间来适应新规定并确保合规。为了更好地迎接CRA的到来,以下是您需要了解的关键信息。

《网络安全弹性法案》

  1. 什么是《网络安全弹性法案》?
  2. 为何它对企业和消费者至关重要?
  3. 哪些实体和产品将受到约束?
  4. 产品不遵守CRA会有什么后果?
  5. 如何开始合规准备工作?
  6. TÜV南德如何协助企业应对挑战?
  7. 为何选择TÜV南德作为合作伙伴?

什么是网络安全弹性法案?

What is Cyber Resilience Act

《网络安全弹性法案》(Cyber Resilience Act,简称CRA)是一项法律框架,它为欧盟的硬件和软件产品全生命周期设定了强制性的网络安全标准。该法案适用于各种硬件和软件产品,包括笔记本电脑、移动设备、传感器、摄像头、路由器、固件、应用程序、视频游戏机、视频卡和CPU等,无论是在欧盟制造、进口还是分销。

CRA的核心目的是确保所有带有软硬件数字化功能的产品在进入欧盟市场时,都能够遵循全面的网络安全指导原则。该法案推行CE标志制度,以证明数字产品符合新的安全标准。

CRA的目标是减少带有数字元素产品的网络安全缺陷,并确保在整个产品生命周期中,制造商、进口商和分销商都能够有效地管理网络安全问题。通过提升硬件和软件产品的安全性与可靠性透明度,CRA旨在增强消费者对产品的信任,并保护他们的安全。

为何《网络安全弹性法案》很重要?

《网络安全韧性法案》(Cyber Resilience Act,CRA)的重要性在于其致力于全面提升欧盟国家、企业和重要基础设施的网络安全水平。通过在硬件和软件产品的整个生命周期中实施强制性安全标准,CRA 有助于强化联网设备的安全防护,从而使欧盟成为一个更加安全且具有缓冲能力的地区。

谁将受到影响?

CRA 将对欧盟市场上销售硬件和软件产品的制造商、进口商和分销商产生影响。为了确保符合 CRA 的规定,这些实体需确认其产品是否在法案的适用范围内,并据此采取相应的合规措施。

 

CRA 适用于任何软件或硬件产品及其远程数据处理解决方案,包括具有数字组件的软件或硬件产品。它提出了一项分类方案,根据产品的潜在风险水平将其划分为非关键产品或关键产品:

  • 非关键产品包括大约 90% 的带有数字元素的产品,例如硬盘、智能家居助手和其他连接设备。此类产品的制造商必须进行自我评估,以检查其产品是否符合 CRA 的要求。
  • 关键产品在 CRA 下进一步分为 I 类和 II 类产品:
    • I 类产品包括身份管理;独立和嵌入式浏览器;密码管理器;搜索、删除或隔离恶意软件的软件;具有数字元素并具有虚拟私人网络(VPN)功能的 products;网络管理系统等。
    • II 类产品包括支持虚拟化操作系统及其类似环境执行的虚拟化执行系统,如虚拟机监控程序和容器运行时系统;防火墙、入侵检测和/或预防系统;具有抗篡改功能的微处理器;以及具有抗篡改功能的微控制器。

尽管《网络安全弹性法案》(Cyber Resilience Act,CRA)覆盖范围广泛,但它排除了以下几种情况:

  • 非商业性项目,包括开源软件,前提是这些项目不涉及商业活动;
  • 服务类业务,例如云服务与软件即服务(SaaS)等商业模式;
  • 以及那些已经受到高度监管的产品和行业,特别是那些在网络安全领域已有充分监管的领域,比如汽车、医疗设备、体外诊断设备、认证的航空器材,以及专为国家安全或军事目的而开发的产品。

如果您的产品未能遵守《网络安全弹性法案》(Cyber Resilience Act,CRA)的规定,可能会面临以下后果:

对于 CRA 规定的 I 类和 II 类产品,非合规行为可能招致罚款,最高的罚款额度可达 1500 万欧元,或违法行为者的全球年营业额的 2.5%。


此外,监管机构可能会下令从市场上撤销或限制销售非合规产品。市场监督机构还将执行合规性“巡查”,以识别对 CRA 规定的任何违反行为。

对于所有数字产品,包括风险较低的 I 类产品,严格遵守 CRA 所规定的网络安全和漏洞处理的基本要求至关重要。这不仅能够避免重罚,还能够确保制造商、进口商和分销商遵守欧盟的网络安全法规。

 

 

您需要如何准备?

为了确保您的企业符合即将实施的《网络安全弹性法案》(Cyber Resilience Act,CRA)的要求,您应该立即开始采取以下措施:

  • 对产品进行全面审查,确保符合网络安全标准。
  • 识别产品中可能存在的所有安全漏洞。
  • 建立一个包括安全要求、设计、实施、测试和维护的安全开发生命周期(SDL)。
  • 实施一个有效的漏洞处理流程,并向用户传达相关信息。
  • 遵守事件报告义务,确保任何被积极利用的漏洞或重大安全事件都能及时报告给相关部门。
  • 熟悉CRA与欧盟其他法规(如《通用数据保护条例》(GDPR)、《无线电设备指令》(RED)和拟议中的《新产品责任指令》)的关系和相互作用。
  • 由于合规要求复杂,聘请经验丰富的专家将有助于避免审批过程中的陷阱,确保顺利通过审核。

通过这些步骤,您可以帮助确保您的企业能够在CRA正式实施时满足所有要求,从而避免潜在的罚款和声誉损害。

 

 

TÜV南德携手助您合规

作为网络安全测试的领军企业,TÜV南德拥有深厚的专业知识,能够评估产品的安全性和可靠性,有效降低漏洞和事故风险,增强用户信心。我们提供的一站式网络安全服务旨在助您满足 CRA 的要求,遵守欧盟的网络安全法规,并为您产品的数字化功能(PDEs)获得 CE 标志:

cybersecurity training consultation

  • 网络安全培训咨询:我们提供专业的培训和咨询服务,帮助企业优化网络安全政策和实践,确保与 CRA 的要求保持一致。
  • 合规性评估:我们执行详细评估,协助企业理解 CRA 的合规要求,并对产品进行合规性评估。
  • 漏洞管理:我们协助企业识别和管理产品漏洞,满足 CRA 对漏洞处理的要求。
  • 第三方评估:针对高风险产品,我们提供强制性的第三方评估服务,以确保符合 CRA 的规定。
  • 事件报告支持:我们帮助企业建立符合 CRA 要求的事件报告流程。
  • 通过与TÜV南德的合作,您可以确保您的产品满足最新的网络安全标准,避免合规风险,并在欧盟市场上保持竞争力。

为何选择TÜV南德?

TÜV南德是在产品网络安全测试领域内的佼佼者。我们的专家团队在网络安全风险评估和安全认证项目方面拥有丰富经验,已成功协助众多企业提升其网络安全水平。凭借对全球网络安全标准深入的专业知识,我们能够全程陪伴您准备并符合 CRA 的要求。

我们深入了具备丰富的行业经验与法规知识,从而构建了严苛的网络安全测试方案,使TÜV南德能够跨行业支持企业。我们帮助组织遵循全球网络安全标准,确保客户能够顺利进入国际市场。

现在就与TÜV南德一起为 CRA 做好准备。联系我们,了解更多关于我们网络安全服务的信息。

更多

// 联系我们
// 订阅
// 查看位置
LinkedIn WeChat WeChat

Site Selector

Global

Americas

Asia

Europe

Middle East and Africa