基本网络安全要求
制造商须依据《网络弹性法》附件一确保其数字元素产品满足的强制性技术特性和 流程要求。要求分为产品特性(第一部分)和漏洞处理流程(第二部分)两部分。 满足这些要求是获得CE标志的前提条件。
来源引用
概述
欧盟法规2024/2847第6条要求制造商确保产品符合附件一规定的基本网络安全要求。
第一部分——产品特性
主要要求:
- 上市时无已知可利用漏洞
- 包含恢复出厂设置功能的安全默认配置
- 基于最佳实践的身份验证
- 传输中和静态数据保护
- 最小化攻击面
- 个人数据安全删除
- 包含组件验证的供应链安全
第二部分——漏洞处理流程
流程要求:
- 实施漏洞管理流程(含SBOM、漏洞追踪)
- 建立协调漏洞披露(CVD)政策
- 在支持期内提供安全更新
- 向ENISA报告被积极利用的漏洞
合格评定
制造商根据产品类别选择附件八中的适当程序。