《網(wǎng)絡(luò)彈性法案》（CRA：Cyber Resilience Act）為制造商和零售商在整個產(chǎn)品生命周期中制定了強制性網(wǎng)絡(luò)安全要求。其目標是確保購買或使用帶有數(shù)字組件的產(chǎn)品或軟件的消費者和企業(yè)得到充分保護。

什么是CRA（網(wǎng)絡(luò)彈性法案）？

歐盟網(wǎng)絡(luò)安全彈性法案（CRA） 是歐盟委員會于2022年9月15日提出的一項歐盟網(wǎng)絡(luò)安全法規(guī)。

確定了兩個主要目標，旨在確保內(nèi)部市場的正常運作：

1.通過確保硬件和軟件產(chǎn)品以更少的漏洞投放市場，并確保制造商在產(chǎn)品的整個生命周期中認真對待安全性，為開發(fā)具有數(shù)字元素的安全產(chǎn)品創(chuàng)造條件;和

2.創(chuàng)造條件，允許用戶在選擇和使用帶有數(shù)字元素的產(chǎn)品時考慮網(wǎng)絡(luò)安全。

提出了四個具體目標：

1.確保制造商從設(shè)計和開發(fā)階段到整個生命周期中提高帶有數(shù)字元素的產(chǎn)品的安全性;

2.確保連貫的網(wǎng)絡(luò)安全框架，促進硬件和軟件生產(chǎn)商的合規(guī)性;

3.提高具有數(shù)字元素的產(chǎn)品安全屬性的透明度，以及

4.使企業(yè)和消費者能夠安全地使用帶有數(shù)字元素的產(chǎn)品。

《網(wǎng)絡(luò)彈性法案》規(guī)定，具有數(shù)字元素的產(chǎn)品只有在滿足CRA-Annex I中規(guī)定的特定基本網(wǎng)絡(luò)安全要求的情況下才能在歐盟市場上銷售。

CRA包括哪些類型的產(chǎn)品？

《歐盟網(wǎng)絡(luò)彈性法案》適用于廣泛的數(shù)字產(chǎn)品。這包括智能手機和筆記本電腦等消費電子產(chǎn)品、智能手表和聯(lián)網(wǎng)家用電器等物聯(lián)網(wǎng)（IoT） 設(shè)備、路由器和調(diào)制解調(diào)器等網(wǎng)絡(luò)設(shè)備以及包括操作系統(tǒng)和應(yīng)用程序在內(nèi)的各種軟件產(chǎn)品。

現(xiàn)行法案涵蓋在歐盟銷售或提供的帶有數(shù)字元素硬件或軟件的產(chǎn)品。

根據(jù)產(chǎn)品類別類型，根據(jù)CRA適用不同的合格評定。第一類和第二類的分類見CRA-ANNEX III。

如果您在了解要求以及如何進行方面需要幫助，請聯(lián)系HANGYUN。我們正在全面了解這項新規(guī)定。

是否有任何產(chǎn)品被排除在外或不在承保范圍內(nèi)？

是的，某些產(chǎn)品不在CRA的涵蓋范圍內(nèi)或被排除在外

被排除在外的產(chǎn)品包括那些在網(wǎng)絡(luò)安全方面受到充分監(jiān)管的產(chǎn)品，例如汽車、醫(yī)療設(shè)備、體外和經(jīng)過認證的航空設(shè)備。

以下是CRA法規(guī)未涵蓋的一些產(chǎn)品：

非商業(yè)項目，包括開源項目，只要項目不是商業(yè)活動的一部分。

服務(wù)，特別是云/軟件即服務(wù)——“遠程數(shù)據(jù)處理解決方案”除外。

與EUCC和其他計劃的關(guān)系：

《歐盟網(wǎng)絡(luò)彈性法案》旨在與現(xiàn)有的網(wǎng)絡(luò)安全認證框架結(jié)合使用，包括來自CSA（網(wǎng)絡(luò)安全法案）的歐盟網(wǎng)絡(luò)安全認證計劃 （EUCC：European Union Cybersecurity Certification Scheme）。EUCC基于信息技術(shù)安全評估的通用標準，提供自愿認證計劃。但是，《網(wǎng)絡(luò)彈性法案》對某些產(chǎn)品引入了強制性合規(guī)要求。

它規(guī)定了哪些產(chǎn)品必須符合認證標準，可能包括EUCC和其他相關(guān)計劃中概述的產(chǎn)品。這種方法確保了整個歐盟更具凝聚力和全面的網(wǎng)絡(luò)安全格局，融合了自愿和強制性措施來增強整體數(shù)字安全。

CRA何時生效？

預(yù)計將于2024年下半年左右生效。我們建議您在ENISA CRA網(wǎng)站上關(guān)注CRA中的更新。

什么是CRA過渡期？

制造商必須在規(guī)則生效后36個月應(yīng)用這些規(guī)則。除了制造商對事件和漏洞的報告義務(wù)的21個月寬限期外。