了解网络弹性法
法规(EU)2024/2847通俗介绍——它是什么、涉及哪些人,以及所创设的关键义务。
CRA是什么?
网络弹性法(法规(EU) 2024/2847)是一项横向欧盟法规,为投放欧盟市场的带有数字元素的产品(PDE)引入了强制性网络安全要求。该法规于2024年12月11日正式生效。
CRA适用于产品的整个生命周期——从设计和开发到支持期结束。该法规确立了基本安全要求(附件I)、文档义务、漏洞报告制度以及合规评估程序。其目标是确保硬件和软件产品在设计阶段即具备安全性,并在整个受支持的生命周期内保持安全。
适用于哪些人?
CRA适用于任何符合以下条件的经营者:
- 制造商:制造带有数字元素的产品并将其投放欧盟市场——包括含有嵌入式软件的硬件和 独立软件产品
- 进口商:从欧盟以外的制造商进口产品,并以自己的名称或商标投放欧盟市场
- 分销商:在不对产品进行修改的情况下在欧盟市场分销产品
- 开源管理者:系统性地提供用于商业用途的免费/开源软件
在欧盟销售产品的非欧盟制造商完全在适用范围之内。他们必须在欧盟境内指定一名授权代表 (第17条)。
什么是带有数字元素的产品?
带有数字元素的产品(PDE)是指任何软件或硬件产品及其远程数据处理解决方案,且与设备 或网络存在直接或间接的数据连接。这一有意宽泛的定义涵盖:
- 消费类物联网设备(智能家居、可穿戴设备、路由器)
- 具有网络连接的工业硬件
- 独立软件应用程序(桌面端、移动端、服务器端)
- 操作系统和虚拟机监控程序
- 投放市场的软件组件和库
- 制造商控制后端的云连接设备
某些行业部分或全部豁免,包括MDR/IVDR下的医疗设备、型式批准法规下的机动车辆、民用航空 以及船用设备。
产品分类
并非所有数字要素产品(PDE)都受到相同对待。《网络弹性法案》根据附件三和附件四规定的网络安全风险特征,将适用范围内的产品分为四个类别:
- 默认类 — 所有未列入附件三或附件四的适用范围内产品。绝大多数数字要素产品属于此类别。
- 重要类 — I类(附件三,I类)— 构成重大网络安全风险的产品,包括身份管理软件、浏览器、密码管理器及通用操作系统。
- 重要类 — II类(附件三,II类)— 风险较高的产品,包括虚拟机监控程序、TPM、工业自动化软件及智能电表网关。
- 关键类(附件四)— 风险最高的产品,包括硬件安全模块(HSM)、智能卡及带安全箱的硬件设备。
产品分类决定制造商在贴附CE标志前必须遵循的合格评定路线:
| 类别 | 自我评估(模块A) | 公告机构(模块B+C / H) |
|---|---|---|
| 默认类 | 始终可用 | 可选 |
| 重要类 — I类 | 如适用协调标准 | 无协调标准时为必选 |
| 重要类 — II类 | 不适用 | 必选 |
| 关键类 | 不适用 | 必选(或欧盟网络安全认证) |
违规处罚
《网络弹性法案》根据第64条建立了分级行政罚款制度。各欧盟成员国的市场监督机构可对制造商、进口商、分销商及开源软件管理者处以罚款。
第一级 — 最高1,500万欧元或全球年营业额的2.5%(取较高者):
不符合附件一中的基本网络安全要求,或违反CE标志、合格评定、技术文件或授权代表义务的相关规定(第13、16、19至22、24条)。
第二级 — 最高1,000万欧元或全球年营业额的2%(取较高者):
违反第14条规定的漏洞报告和安全事件通知义务,未向合格评定机构发出通知,或拒绝配合市场监督机构(第15、17、18、23条)。
第三级 — 最高500万欧元或全球年营业额的1%(取较高者):
向公告机构或市场监督机构提供不正确、不完整或误导性信息。
对于全球营业额较大的大型企业,基于营业额的上限通常会超过固定最高额。成员国亦可依据国内法施加额外处罚。第14条截止日期2026年9月11日是第二级罚款正式生效的第一个时间点。
关键时间节点
2024年12月11日 — CRA正式生效
该法规具有法律效力。从该日期起投放市场的产品,一旦达到适用日期,必须符合CRA要求。
2026年9月11日 — 漏洞报告义务开始适用
根据第14条向ENISA报告漏洞和事件成为强制性要求。这是第一个硬性截止日期。制造商必须在此日期之前建立报告流程。
2027年6月11日 — 合规评估机构通知
成员国必须向委员会通报合规评估机构。
2027年12月11日 — 法规全面适用
CRA的所有要求适用于所有适用范围内的产品。不符合要求的新产品不得在欧盟市场销售。