了解網路韌性法
法規(EU)2024/2847通俗介紹——它是什麼、涉及哪些人,以及所創設的關鍵義務。
CRA是什麼?
網路韌性法(法規(EU) 2024/2847)是一項橫向歐盟法規,為投放歐盟市場的帶有數位元素的 產品(PDE)引入了強制性網路安全要求。該法規於2024年12月11日正式生效。
CRA適用於產品的整個生命週期——從設計和開發到支援期結束。該法規確立了基本安全要求 (附件I)、文件義務、漏洞報告制度以及合規評估程序。其目標是確保硬體和軟體產品在設計 階段即具備安全性,並在整個受支援的生命週期內保持安全。
適用於哪些人?
CRA適用於任何符合以下條件的經營者:
- 製造商:製造帶有數位元素的產品並將其投放歐盟市場——包括含有嵌入式軟體的硬體和 獨立軟體產品
- 進口商:從歐盟以外的製造商進口產品,並以自己的名稱或商標投放歐盟市場
- 分銷商:在不對產品進行修改的情況下在歐盟市場分銷產品
- 開源管理者:系統性地提供用於商業用途的免費/開源軟體
在歐盟銷售產品的非歐盟製造商完全在適用範圍之內。他們必須在歐盟境內指定一名授權代表 (第17條)。
什麼是帶有數位元素的產品?
帶有數位元素的產品(PDE)是指任何軟體或硬體產品及其遠端資料處理解決方案,且與裝置 或網路存在直接或間接的資料連線。這一有意寬泛的定義涵蓋:
- 消費類物聯網裝置(智慧家居、穿戴裝置、路由器)
- 具有網路連線的工業硬體
- 獨立軟體應用程式(桌面端、行動端、伺服器端)
- 作業系統和虛擬機器監控程式
- 投放市場的軟體元件和程式庫
- 製造商控制後端的雲端連線裝置
某些行業部分或全部豁免,包括MDR/IVDR下的醫療器材、型式批准法規下的機動車輛、民用航空 以及船用設備。
產品分類
並非所有數位要素產品(PDE)都受到相同對待。《網路韌性法案》根據附件三和附件四規定的資安風險特徵,將適用範圍內的產品分為四個類別:
- 預設類 — 所有未列入附件三或附件四的適用範圍內產品。絕大多數數位要素產品屬於此類別。
- 重要類 — I類(附件三,I類)— 構成重大資安風險的產品,包括身分管理軟體、瀏覽器、密碼管理器及通用作業系統。
- 重要類 — II類(附件三,II類)— 風險較高的產品,包括虛擬機器監控程式、TPM、工業自動化軟體及智慧電表閘道器。
- 關鍵類(附件四)— 風險最高的產品,包括硬體安全模組(HSM)、智慧卡及帶安全箱的硬體裝置。
產品分類決定製造商在貼附CE標誌前必須遵循的合格評定路線:
| 類別 | 自我評估(模組A) | 公告機構(模組B+C / H) |
|---|---|---|
| 預設類 | 始終可用 | 選擇性 |
| 重要類 — I類 | 如適用協調標準 | 無協調標準時為必選 |
| 重要類 — II類 | 不適用 | 必選 |
| 關鍵類 | 不適用 | 必選(或歐盟資安認證) |
違規罰則
《網路韌性法案》根據第64條建立了分級行政罰款制度。各歐盟成員國的市場監督機構可對製造商、進口商、分銷商及開源軟體管理者處以罰款。
第一級 — 最高1,500萬歐元或全球年營業額的2.5%(取較高者):
不符合附件一的基本資安要求,或違反CE標誌、合格評定、技術文件或授權代表義務的相關規定(第13、16、19至22、24條)。
第二級 — 最高1,000萬歐元或全球年營業額的2%(取較高者):
違反第14條規定的漏洞報告及安全事件通知義務,未向合格評定機構發出通知,或拒絕配合市場監督機構(第15、17、18、23條)。
第三級 — 最高500萬歐元或全球年營業額的1%(取較高者):
向公告機構或市場監督機構提供不正確、不完整或誤導性資訊。
對於全球營業額較大的大型企業,基於營業額的上限通常會超過固定最高額。成員國亦可依據國內法施加額外處罰。第14條截止日期2026年9月11日是第二級罰款正式生效的第一個時間點。
關鍵時間節點
2024年12月11日 — CRA正式生效
該法規具有法律效力。從該日期起投放市場的產品,一旦達到適用日期,必須符合CRA要求。
2026年9月11日 — 漏洞報告義務開始適用
根據第14條向ENISA報告漏洞和事件成為強制性要求。這是第一個硬性截止日期。製造商必須在此日期之前建立報告流程。
2027年6月11日 — 合規評估機構通知
成員國必須向委員會通報合規評估機構。
2027年12月11日 — 法規全面適用
CRA的所有要求適用於所有適用範圍內的產品。不符合要求的新產品不得在歐盟市場銷售。