ARTICLE
17 December 2024

关于欧盟《网络弹性法案》,您需要了解什么?

R
Rouse

Contributor

Rouse is an IP services business focused on emerging markets. We operate as a closely integrated network to provide the full range of intellectual property services, from patent and trade mark protection and management to commercialisation, global enforcement and anti-counterfeiting.
2024年10月10日,欧洲理事会正式通过了欧盟第2024/2847号条例,即带有数字元素的产品的横向网络安全要求法规...
European Union Technology

2024年10月10日,欧洲理事会正式通过了欧盟第2024/2847号条例,即带有数字元素的产品的横向网络安全要求法规( 《网络弹性法案》,简称“CRA”)。该法规于2024年11月20日在欧盟官方公报上公布,并计划于2024年12月正式生效,随后将启动为期21个月的过渡期。

CRA法案针对制造商、分销商和进口商,旨在提高带有数字元素的产品的网络安全性。这些产品包括智能手机、笔记本电脑、密码管理器、带有安全功能的智能家居产品(例如智能门锁、安防摄像头或婴儿监控系统)等,即任何直接或间接连接到网络或其他设备的产品。在这些产品进入欧盟内部市场前,CRA通过减少其在整个生命周期中的硬件和软件漏洞,确保其具有更高的安全性。

随着CRA的实施,硬件和软件产品上可见的现有CE标志(源自法语“conformité européenne”,意为“遵守欧洲标准”)也将向消费者证明产品符合CRA的要求,这有助于消费者在购买时能够更加明确地考虑网络安全因素。

产品将根据其网络安全风险被划分为不同等级,如“重要”或“关键”。未被归为“重要”或“关键”的产品也必须遵守CRA规定,制造商、分销商和进口商需确保这一点。

该法规重点关注制造商、分销商和进口商提高产品网络安全性的各种措施:

  • 安全更新:产品应提供免费的安全更新,并能够自动下载和安装。制造商需在产品上市前设计并实施相应的流程,以通知和分发更新,尤其是针对消费类产品。同时,用户应有权选择退出自动更新。并非所有数字产品都需要自动更新,例如在专业ICT网络和关键工业环境中使用的产品,自动更新可能会干扰其正常运作。
  • 支持期限:产品一旦投放市场,制造商需为产品设定一个支持期限,明确消费者可以预期的产品使用时长。这通常需要考虑用户对产品性质等方面的期望。一般而言,支持期限为五年,但如果产品预期寿命短于五年,则允许更短的支持期限。对于预期有较长支持期限的产品,如路由器和视频编辑工具,制造商应提供相应的支持。
  • 单一联系点:制造商应提供一个单一联系点,供消费者联系制造商和报告产品漏洞。这个联系点不能仅仅是AI生成的,如网站聊天机器人。
  • 报告漏洞:任何被利用的漏洞或严重影响产品安全的严重事件,都需要通知作为指定协调人的计算机安全事件响应团队(CSIRT)和欧盟网络安全局(ENISA)。
  • 违规风险:如果公司未能遵守CRA,可能面临高达其全球年营业额2.5%的罚款,对于在多个市场运营的公司来说,这可能是一个巨大的数额。

该法规的目标是提高欧盟内带有数字元素的产品的网络安全性,保护使用这些产品的欧盟消费者免受网络安全威胁。然而,无论法规如何,消费者在保障安全方面仍将扮演重要角色,他们需要报告漏洞并了解CE标志,以了解该产品是否符合CRA的要求。

中文校对:林华秋,顾问,路盛律师事务所

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More