欧盟网络安全弹性法案概述
《网络安全弹性法案》(CRA)规定了制造商和零售商在整个产品生命周期内的强制性网络安全要求。其目标是确保购买或使用带有数字组件的产品或软件的消费者和企业受到全面保护。
什么是CRA(网络安全弹性法案)?
《欧盟网络安全弹性法案》(CRA)是欧盟委员会于2022年9月15日提出的一项欧盟网络安全法规。其目标包括:
- 提高连接到互联网的有线和无线产品的安全性。
- 在产品的整个生命周期中对制造商承担网络安全责任。
- 正确告知消费者他们购买和使用的产品的网络安全功能。
《网络安全弹性法案》规定,具有数字元素的产品只有满足《网络安全弹性法案》附件I中规定的特定基本网络安全要求,才能在欧盟市场上销售。
CRA包括哪些类型的产品?
《欧盟网络安全弹性法案》适用于广泛的数字类产品。这包括智能手机和笔记本电脑等消费电子产品、智能手表和联网家电等物联网设备、路由器和调制解调器等网络设备以及操作系统和应用程序等各种软件产品。
现行法案涵盖在欧盟销售或提供的带有数字元素的硬件或软件产品。
根据产品类别的不同,CRA适用于不同的符合性评估。I类和II类的分类见 CRA-ANNEX III。
我是制造商,我应该遵循哪些步骤?
如果您是制造商,请确保您了解主要流程和应遵循的所有步骤:
如果您需要帮助了解相关要求以及如何进行操作,请联系Applus+。我们将帮助您了解这项新法规。
是否有任何产品被排除在外或不在承保范围内?
是的,有些产品不在《消费者保护法》的覆盖范围内,或被排除在外。
被排除在外的产品包括那些在网络安全方面受到充分监管的产品,如汽车、医疗器械、体外设备和经认证的航空设备。
以下是CRA法规未涵盖的一些产品:
- 非商业项目,包括不属于商业活动的开源项目。
- 服务,尤其是云服务/软件服务--"远程数据处理解决方案 "除外。
与EUCC及其他体系的关系:
《欧盟网络安全弹性法案》旨在与现有的网络安全认证框架,包括来自 CSA(《网络安全法》)的欧盟网络安全认证计划(EUCC)共同发挥作用。欧盟网络安全认证计划以《信息技术安全评估通用标准》为基础,提供自愿性认证计划。然而,《网络安全弹性法案》对某些产品提出了强制性合规要求。
它规定了哪些产品必须遵守认证标准,可能包括欧盟认证委员会和其他相关计划中概述的标准。这种方法可确保整个欧盟的网络安全格局更具凝聚力和综合性,将自愿性和强制性措施相结合,以加强整体数字安全。
CRA何时生效?
预计将于2024年下半年左右生效。我们建议在ENISA CRA网站上关注 CRA 的情况。
什么是CRA过渡期?
制造商必须在这些规则生效36个月后实施。但制造商对事故和漏洞的报告义务有21个月的宽限期。
Applus+ Laboratories,提供支持,帮助您了解CRA
如果您是制造商,请确保您了解在整个产品生命周期中维护产品网络安全的主要流程和所有步骤。
如果您有任何疑问或问题,我们Applus+ Laboratories的专家将非常乐意指导您了解这项新法规。