本文的观点基于Jose Manuel Pulido(jtsec和Applus+公司的咨询经理)在Applus+ Laboratories于2024年10月组织举行的EUCC方案网络研讨会上的演讲。
《网络安全弹性法》(CRA) 是一项旨在强制执行欧盟内所有具有数字元素的产品必须遵守的网络安全要求的监管框架。本次演讲探讨了 CRA 的关键要素、其对各类产品的影响,以及 EUCC(基于欧洲共同标准的网络安全认证)方案如何帮助满足 CRA 的要求。
网络《网络弹性法案》的概述
CRA适用于各种产品,包括硬件、软件、固件和远程数据处理解决方案。CRA规定了制造商的义务,如进行网络安全风险评估、提供安全补丁和报告漏洞。
关键截止日期和要求
CRA于2024年10月经由欧盟理事会通过,将于2028年1月开始实施。该法规定义了基本安全要求,分为两部分:安全功能和属性(第1部分)以及制造商义务(第2部分)。这些要求旨在确保所有具有数字元素的产品具有一致的网络安全水平。
产品类别和合规性评估
CRA将产品分为关键、重要(第1类和第2类)和默认(非重要和非关键)类别。符合性评估方法因产品的关键性而异。对于关键和重要类别的产品,评估方法包括通过模块B加上模块C的NLF评估方法,以及通过模块H的全面质量保证。CRA还引入了符合性推定的概念,即根据欧洲网络安全认证计划(如EUCC)认证的产品可推定为符合CRA要求。
将EUCC和CRA要求相对应
基于通用标准的EUCC计划可通过其安全功能要求(SFR)和安全保证要求(SAR)帮助满足CRA要求。通过在EUCC和CRA要求之间建立等同关系,制造商可以通过EUCC认证证明产品是否符合CRA的要求。EUCC的漏洞管理义务和补丁管理流程也与CRA要求一致。
弥补差距和实施策略
为了弥补现有认证与CRA要求之间的差距,制造商可能需要更新安全目标和保护配置文件。可对EUCC计划进行调整,以纳入新的SFR和SAR,确保符合CRA要求。对于采用远程数据处理解决方案的产品,可能需要额外的评估方法,如:统一标准。对于EUCC评估范围小于完整产品的产品,可能需要证明TOE的评估部分能够保证完整产品的安全性。
行业格局的保护概况
通用标准行业以保护配置文件为主,其中很大一部分认证符合PP标准。关键和重要类别的产品(如智能卡和网络设备)可受益于EUCC认证,以满足CRA要求。对于非重要类产品,可调整功能要求包和保证要求包来模拟CRA和EUCC要求之间的映射关系。
未来的发展与挑战
EUCC与CRA的整合是一个持续的过程,需要努力更新保护配置文件和开发新的评估方法。我们的目标是避免多重合规分析,确保简化认证流程。该行业必须适应新法规,同时保持高标准的网络安全。
总之,《网络弹性法案》是欧盟在加强网络安全方面迈出的重要一步。通过利用EUCC 计划,制造商可以确保符合CRA要求,为数字产品认证提供一个强大的框架。目前正在进行的统一标准和更新保护配置文件的工作将为实现这一目标发挥至关重要的作用。
以下观看完整视频:
Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.
They allow the operation of the website, loading media content and its security. See the cookies we store in our Cookies Policy
They allow us to know how you interact with the website, the number of visits in the different sections and to create statistics to improve our business practices. See the cookies we store in our Cookies Policy