《網(wǎng)絡(luò)彈性法案》（CRA：Cyber Resilience Act）為制造商和零售商在整個(gè)產(chǎn)品生命周期中制定了強(qiáng)制性網(wǎng)絡(luò)安全要求。其目標(biāo)是確保購買或使用帶有數(shù)字組件的產(chǎn)品或軟件的消費(fèi)者和企業(yè)得到充分保護(hù)。

什么是CRA（網(wǎng)絡(luò)彈性法案）？

歐盟網(wǎng)絡(luò)安全彈性法案（CRA） 是歐盟委員會(huì)于2022年9月15日提出的一項(xiàng)歐盟網(wǎng)絡(luò)安全法規(guī)。

確定了兩個(gè)主要目標(biāo)，旨在確保內(nèi)部市場的正常運(yùn)作：

1.通過確保硬件和軟件產(chǎn)品以更少的漏洞投放市場，并確保制造商在產(chǎn)品的整個(gè)生命周期中認(rèn)真對(duì)待安全性，為開發(fā)具有數(shù)字元素的安全產(chǎn)品創(chuàng)造條件;和

2.創(chuàng)造條件，允許用戶在選擇和使用帶有數(shù)字元素的產(chǎn)品時(shí)考慮網(wǎng)絡(luò)安全。

提出了四個(gè)具體目標(biāo)：

1.確保制造商從設(shè)計(jì)和開發(fā)階段到整個(gè)生命周期中提高帶有數(shù)字元素的產(chǎn)品的安全性;

2.確保連貫的網(wǎng)絡(luò)安全框架，促進(jìn)硬件和軟件生產(chǎn)商的合規(guī)性;

3.提高具有數(shù)字元素的產(chǎn)品安全屬性的透明度，以及

4.使企業(yè)和消費(fèi)者能夠安全地使用帶有數(shù)字元素的產(chǎn)品。

《網(wǎng)絡(luò)彈性法案》規(guī)定，具有數(shù)字元素的產(chǎn)品只有在滿足CRA-Annex I中規(guī)定的特定基本網(wǎng)絡(luò)安全要求的情況下才能在歐盟市場上銷售。

CRA包括哪些類型的產(chǎn)品？

《歐盟網(wǎng)絡(luò)彈性法案》適用于廣泛的數(shù)字產(chǎn)品。這包括智能手機(jī)和筆記本電腦等消費(fèi)電子產(chǎn)品、智能手表和聯(lián)網(wǎng)家用電器等物聯(lián)網(wǎng)（IoT） 設(shè)備、路由器和調(diào)制解調(diào)器等網(wǎng)絡(luò)設(shè)備以及包括操作系統(tǒng)和應(yīng)用程序在內(nèi)的各種軟件產(chǎn)品。

現(xiàn)行法案涵蓋在歐盟銷售或提供的帶有數(shù)字元素硬件或軟件的產(chǎn)品。

根據(jù)產(chǎn)品類別類型，根據(jù)CRA適用不同的合格評(píng)定。第一類和第二類的分類見CRA-ANNEX III。

如果您在了解要求以及如何進(jìn)行方面需要幫助，請(qǐng)聯(lián)系HANGYUN。我們正在全面了解這項(xiàng)新規(guī)定。

是否有任何產(chǎn)品被排除在外或不在承保范圍內(nèi)？

是的，某些產(chǎn)品不在CRA的涵蓋范圍內(nèi)或被排除在外

被排除在外的產(chǎn)品包括那些在網(wǎng)絡(luò)安全方面受到充分監(jiān)管的產(chǎn)品，例如汽車、醫(yī)療設(shè)備、體外和經(jīng)過認(rèn)證的航空設(shè)備。

以下是CRA法規(guī)未涵蓋的一些產(chǎn)品：

非商業(yè)項(xiàng)目，包括開源項(xiàng)目，只要項(xiàng)目不是商業(yè)活動(dòng)的一部分。

服務(wù)，特別是云/軟件即服務(wù)——“遠(yuǎn)程數(shù)據(jù)處理解決方案”除外。

與EUCC和其他計(jì)劃的關(guān)系：

《歐盟網(wǎng)絡(luò)彈性法案》旨在與現(xiàn)有的網(wǎng)絡(luò)安全認(rèn)證框架結(jié)合使用，包括來自CSA（網(wǎng)絡(luò)安全法案）的歐盟網(wǎng)絡(luò)安全認(rèn)證計(jì)劃 （EUCC：European Union Cybersecurity Certification Scheme）。EUCC基于信息技術(shù)安全評(píng)估的通用標(biāo)準(zhǔn)，提供自愿認(rèn)證計(jì)劃。但是，《網(wǎng)絡(luò)彈性法案》對(duì)某些產(chǎn)品引入了強(qiáng)制性合規(guī)要求。

它規(guī)定了哪些產(chǎn)品必須符合認(rèn)證標(biāo)準(zhǔn)，可能包括EUCC和其他相關(guān)計(jì)劃中概述的產(chǎn)品。這種方法確保了整個(gè)歐盟更具凝聚力和全面的網(wǎng)絡(luò)安全格局，融合了自愿和強(qiáng)制性措施來增強(qiáng)整體數(shù)字安全。

CRA何時(shí)生效？

預(yù)計(jì)將于2024年下半年左右生效。我們建議您在ENISA CRA網(wǎng)站上關(guān)注CRA中的更新。

什么是CRA過渡期？

制造商必須在規(guī)則生效后36個(gè)月應(yīng)用這些規(guī)則。除了制造商對(duì)事件和漏洞的報(bào)告義務(wù)的21個(gè)月寬限期外。