2024年10月10日,欧洲理事会正式通过了欧盟第2024/2847号条例,即带有数字元素的产品的横向网络安全要求法规( 《网络弹性法案》,简称“CRA”)。该法规于2024年11月20日在欧盟官方公报上公布,并计划于2024年12月正式生效,随后将启动为期21个月的过渡期。
CRA法案针对制造商、分销商和进口商,旨在提高带有数字元素的产品的网络安全性。这些产品包括智能手机、笔记本电脑、密码管理器、带有安全功能的智能家居产品(例如智能门锁、安防摄像头或婴儿监控系统)等,即任何直接或间接连接到网络或其他设备的产品。在这些产品进入欧盟内部市场前,CRA通过减少其在整个生命周期中的硬件和软件漏洞,确保其具有更高的安全性。
随着CRA的实施,硬件和软件产品上可见的现有CE标志(源自法语“conformité européenne”,意为“遵守欧洲标准”)也将向消费者证明产品符合CRA的要求,这有助于消费者在购买时能够更加明确地考虑网络安全因素。
产品将根据其网络安全风险被划分为不同等级,如“重要”或“关键”。未被归为“重要”或“关键”的产品也必须遵守CRA规定,制造商、分销商和进口商需确保这一点。
该法规重点关注制造商、分销商和进口商提高产品网络安全性的各种措施:
- 安全更新:产品应提供免费的安全更新,并能够自动下载和安装。制造商需在产品上市前设计并实施相应的流程,以通知和分发更新,尤其是针对消费类产品。同时,用户应有权选择退出自动更新。并非所有数字产品都需要自动更新,例如在专业ICT网络和关键工业环境中使用的产品,自动更新可能会干扰其正常运作。
- 支持期限:产品一旦投放市场,制造商需为产品设定一个支持期限,明确消费者可以预期的产品使用时长。这通常需要考虑用户对产品性质等方面的期望。一般而言,支持期限为五年,但如果产品预期寿命短于五年,则允许更短的支持期限。对于预期有较长支持期限的产品,如路由器和视频编辑工具,制造商应提供相应的支持。
- 单一联系点:制造商应提供一个单一联系点,供消费者联系制造商和报告产品漏洞。这个联系点不能仅仅是AI生成的,如网站聊天机器人。
- 报告漏洞:任何被利用的漏洞或严重影响产品安全的严重事件,都需要通知作为指定协调人的计算机安全事件响应团队(CSIRT)和欧盟网络安全局(ENISA)。
- 违规风险:如果公司未能遵守CRA,可能面临高达其全球年营业额2.5%的罚款,对于在多个市场运营的公司来说,这可能是一个巨大的数额。
该法规的目标是提高欧盟内带有数字元素的产品的网络安全性,保护使用这些产品的欧盟消费者免受网络安全威胁。然而,无论法规如何,消费者在保障安全方面仍将扮演重要角色,他们需要报告漏洞并了解CE标志,以了解该产品是否符合CRA的要求。
中文校对:林华秋,顾问,路盛律师事务所
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
