附件一
《网络弹性法》的核心附件,规定了适用于所有数字元素产品的基本网络安全要求。 分为两部分:第一部分涵盖产品安全特性,第二部分涵盖制造商必须实施的漏洞处理 流程。符合附件一要求是获得CE标志的前提条件。
来源引用
结构概述
附件一分为两个独立部分:
第一部分——产品安全特性
产品上市时必须满足:
- 无已知可利用漏洞(须经合理测试)
- 安全默认配置(含恢复出厂设置)
- 身份验证与访问控制(基于最佳实践)
- 传输中和静态数据保护(加密)
- 最小化攻击面(禁用不必要的端口/功能)
- 对中断的抵御能力(可用性)
- 安全更新机制
第二部分——漏洞处理流程
制造商必须实施:
- 漏洞管理政策(含SBOM、CVE追踪)
- 协调漏洞披露(CVD)政策
- 在支持期内提供安全更新
- 向ENISA报告被积极利用的漏洞
重要性
附件一直接触发合格评定选择的适用性,并决定CE标志合规路径。