OBL-ART23-01Binding
维护供应链可追溯性记录并应要求提供
所有经济经营者须能够应市场监督机构要求,识别 (a) 向其供应产品的任何经济经营者, 以及 (b) 其向其供应产品的任何经济经营者。记录须从每次交易起保存10年。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
角色
Art. 3(14)开源软件管理者
开源软件管理者是指系统性地支持免费/开源软件产品开发、且该软件的预期用途可合理预期为商业用途的任何法人。
关键事实
- CRA引入的新类别,旨在规范OSS而不惩罚个人开发者
- 义务轻于制造商(无需CE标志、无需合规声明)
- 须制定网络安全政策并配合当局
- 商业活动测试决定OSS项目是否在适用范围内
- 管理者身份不适用于打包/分发该软件的下游用户
关键截止日期
1
2024年12月11日 — CRA正式生效
该法规在法律上已生效。自该日期起投放市场的产品须在应用日期到达后符合CRA要求。
2026年9月11日 — 漏洞报告义务生效
根据第14条向ENISA报告漏洞和事故成为强制性要求。这是第一个硬性截止日期。制造商必须在此日期之前建立好报告流程。
3
2027年6月11日 — 合格评定机构通知
成员国须向欧委会通报合格评定机构。
4
2027年12月11日 — 法规全面适用
所有CRA要求适用于所有范围内的产品。不得再将不符合要求的新产品投放欧盟市场。
义务(5条)
OBL-ART24-01Binding
为开源软件建立并记录网络安全政策
开源软件管理者必须制定并记录网络安全政策,以促进安全产品的开发,并使其支持的开源软件组件中的漏洞得到有效处置。
Art. 24(1)
Open-source steward
OBL-ART24-02Binding
通报被主动利用的漏洞和严重安全事件
开源软件管理者必须及时向担任协调员的相关CSIRT通报其开源软件组件中任何被主动利用的漏洞,以及影响这些组件安全性的任何严重安全事件。
Art. 24(2)
Open-source steward
OBL-ART24-03Binding
配合市场监督机构
开源软件管理者必须应市场监督机构的请求配合其工作,并提供履行其监管职责所需的全部信息。
Art. 24(3)
Open-source steward
OBL-ART24-04Binding
应要求编制技术文档
应市场监督机构的请求,开源软件管理者必须为其管理的开源软件组件编制并持续更新技术文档,使其足以评估网络安全合规性。
Art. 24(4)
Open-source steward