OBL-ART23-01Binding
維護供應鏈可追溯性記錄並應要求提供
所有經濟經營者須能夠應市場監督機構要求,識別 (a) 向其供應產品的任何經濟經營者, 以及 (b) 其向其供應產品的任何經濟經營者。記錄須從每次交易起保存10年。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
角色
Art. 3(14)開源軟體管理者
開源軟體管理者是指系統性地支持免費/開源軟體產品開發、且該軟體的預期用途可合理預期為商業用途的任何法人。
關鍵事實
- CRA引入的新類別,旨在規範OSS而不懲罰個人開發者
- 義務輕於製造商(無需CE標誌、無需合規聲明)
- 須制定網路安全政策並配合當局
- 商業活動測試決定OSS專案是否在適用範圍內
- 管理者身份不適用於打包/分發該軟體的下游用戶
關鍵截止日期
1
2024年12月11日 — CRA正式生效
該法規在法律上已生效。自該日期起投放市場的產品須在應用日期到達後符合CRA要求。
2026年9月11日 — 漏洞報告義務生效
根據第14條向ENISA報告漏洞和事故成為強制性要求。這是第一個硬性截止日期。製造商必須在此日期之前建立好報告流程。
3
2027年6月11日 — 合格評定機構通知
成員國須向歐委會通報合格評定機構。
4
2027年12月11日 — 法規全面適用
所有CRA要求適用於所有範圍內的產品。不得再將不符合要求的新產品投放歐盟市場。
義務(5條)
OBL-ART24-01Binding
為開源軟體建立並記錄網路安全政策
開源軟體管理者必須制定並記錄網路安全政策,以促進安全產品的開發,並能夠對其支援的 開源軟體元件中的漏洞進行有效處理。
Art. 24(1)
Open-source steward
OBL-ART24-02Binding
通報遭主動利用的漏洞及嚴重事件
開源軟體管理者必須無不當延遲地向被指定為協調員的相關CSIRT通知其開源軟體元件中任何 遭主動利用的漏洞,以及影響這些元件安全性的任何嚴重事件。
Art. 24(2)
Open-source steward
OBL-ART24-03Binding
配合市場監管機關
開源軟體管理者必須應要求配合市場監管機關,並提供其履行監管職責所需的所有資訊。
Art. 24(3)
Open-source steward
OBL-ART24-04Binding
應要求編制技術文件
應市場監管機關的要求,開源軟體管理者必須為其管理的開源軟體元件編制並保持最新的 技術文件,以足以評估網路安全合規性。
Art. 24(4)
Open-source steward