基本網路安全要求
製造商須依據《網路韌性法》附件一確保其數位元素產品滿足的強制性技術特性 和流程要求。要求分為產品特性(第一部分)和漏洞處理流程(第二部分)兩部分。 滿足這些要求是取得CE標誌的前提條件。
來源引用
概述
歐盟法規2024/2847第6條要求製造商確保產品符合附件一規定的基本網路安全要求。
第一部分——產品特性
主要要求:
- 上市時無已知可利用漏洞
- 包含恢復原廠設定功能的安全預設設定
- 基於最佳實務的身份驗證
- 傳輸中和靜態資料保護
- 最小化攻擊面
- 個人資料安全刪除
- 包含元件驗證的供應鏈安全
第二部分——漏洞處理流程
流程要求:
- 實施漏洞管理流程(含SBOM、漏洞追蹤)
- 建立協調漏洞揭露(CVD)政策
- 在支援期內提供安全更新
- 向ENISA通報積極遭利用的漏洞
合格評定
製造商根據產品類別選擇附件八中的適當程序。