附件一
《網路韌性法》的核心附件,規定了適用於所有數位元素產品的基本網路安全要求。 分為兩部分:第一部分涵蓋產品安全特性,第二部分涵蓋製造商必須實施的漏洞 處理流程。符合附件一要求是取得CE標誌的前提條件。
來源引用
結構概述
附件一分為兩個獨立部分:
第一部分——產品安全特性
產品上市時必須滿足:
- 無已知可利用漏洞(須經合理測試)
- 安全預設設定(含恢復原廠設定)
- 身份驗證與存取控制(基於最佳實務)
- 傳輸中和靜態資料保護(加密)
- 最小化攻擊面(停用不必要的連接埠/功能)
- 對中斷的抵御能力(可用性)
- 安全更新機制
第二部分——漏洞處理流程
製造商必須實施:
- 漏洞管理政策(含SBOM、CVE追蹤)
- 協調漏洞揭露(CVD)政策
- 在支援期內提供安全更新
- 向ENISA通報積極遭利用的漏洞
重要性
附件一直接觸發合格評定選擇的適用性,並決定CE標誌合規路徑。