12月10日,醞釀4年之久的歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,CRA)正式生效,這是歐盟理事會將GDPR等法規(guī)構(gòu)建的合規(guī)框架進一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn),對于歐洲乃至全球網(wǎng)絡(luò)安全領(lǐng)域影響巨大。
從法案的覆蓋范圍來看,除了汽車、醫(yī)療設(shè)備、航空器材等個別已有專門法規(guī)適配的特定領(lǐng)域外,CRA適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著,幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的電子類產(chǎn)品,包括電視、冰箱、智能音響等均被納入CRA的監(jiān)管范疇。根據(jù)其使用范圍的描述,物聯(lián)網(wǎng)產(chǎn)品是其中最為典型的使用領(lǐng)域。
雖然該法案提出主要義務(wù)到2027年12月11日起適用,但物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)商需提前行動起來,做到符合CRA要求。對于國內(nèi)出口歐洲的物聯(lián)網(wǎng)企業(yè)來說,按照CRA的要求推進合規(guī)性工作是當(dāng)前一個必選項。
對于國內(nèi)物聯(lián)網(wǎng)產(chǎn)品制造商來說,目前還有36個月的時間來開展合規(guī)性工作,需要做的工作包括:
強制性網(wǎng)絡(luò)風(fēng)險評估
技術(shù)安全要求的實施
安全相關(guān)事件的報告義務(wù)
超過5年或預(yù)期產(chǎn)品壽命的免費安全更新。
