12月10日,醞釀4年之久的歐盟《網絡彈性法案》(Cyber Resilience Act,CRA)正式生效,這是歐盟理事會將GDPR等法規構建的合規框架進一步向軟硬件產品領域延伸的重要表現,對于歐洲乃至全球網絡安全領域影響巨大。
從法案的覆蓋范圍來看,除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外,CRA適用于任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味著,幾乎所有存在聯網等數字化功能的電子類產品,包括電視、冰箱、智能音響等均被納入CRA的監管范疇。根據其使用范圍的描述,物聯網產品是其中最為典型的使用領域。
雖然該法案提出主要義務到2027年12月11日起適用,但物聯網產品生產商需提前行動起來,做到符合CRA要求。對于國內出口歐洲的物聯網企業來說,按照CRA的要求推進合規性工作是當前一個必選項。
CRA法規實施時間表和需要重點關注的事實
對于國內物聯網產品制造商來說,目前還有36個月的時間來開展合規性工作,需要做的工作包括:
強制性網絡風險評估
技術安全要求的實施
安全相關事件的報告義務
超過5年或預期產品壽命的免費安全更新
如有違反CRA,將面臨較高的處罰。法案規定,對于未能遵守法案中提出的漏洞報告、網絡事件報告或基本網絡安全要求的公司,可能面臨高達1500萬歐元或其全球營業額2.5%的行政罰款,以較高者為準;對于不遵守其他義務的情況,罰款上限為1000萬歐元,或是全球營業額2%;若企業向市場監管機構或相關機構提供誤導性或不正確的信息,罰款可能高達500萬歐元,或是全球營業額的1%。此外,在某些情況下,歐盟成員國當局可以要求廠商從歐盟市場召回或撤出不合規產品。
對于在歐盟市場上布局物聯網產品的所有制造商來說,他們非常重視這36個月的過渡期,推進產品遵守CRA規定。
一個需要業界高度關注的事實是,CRA的要求可能提升了一些大型制造商對供應鏈管理的要求和難度。在CRA征求意見階段,遭到了西門子等公司的強烈反饋,其中主要的來自于要求制造商在將來自第三方的部件集成到帶有數字元素的產品中時,應當確保此類部件不會危及產品的安全性的條款。
在這一條款下,產品最終制造商承擔著較高責任,意味著產品制造商在使用某一組件、第三方組件乃至軟件插件時,都需要對其安全性進行檢驗和確認。對于高度依賴產業鏈國際分工的家電、消費電子、工業物聯網等領域,這一標準的落地極大拓寬了其責任范圍。核心企業或品牌制造商要確保其供應鏈中的供應商所有產品符合CRA標準,不但要求自己對CRA法案具有深入理解,還需要構建高效的第三方供應商CRA管理的制度和流程,如若出現第三方原因造成CRA合規問題,制造商將承擔第一責任,因此這是一個具有較高挑戰性的工作。
物聯網產品的制造商需要做什么?
為了符合CRA對物聯網產品的要求,物聯網制造商需要開展一系列工作,根據制造商合規指南,以下列出制造商需要完成的一些強制性工作。
1、先決條件
根據CRA相關條款,企業在將產品投放到歐洲市場之前,必須:
根據預期用途、可預見條件和預期壽命分析潛在風險;
安全地集成各類組件:物聯網制造商在從第三方采購組件時進行盡職調查,包括開源軟件,以確保它們不會危及產品的網絡安全;
具有解決內部或外部來源報告的漏洞政策和程序,包括協調的披露政策;
準備技術文件;
選擇并實施合格評定程序;
發布歐盟一致性聲明并粘貼CE標志;
包括產品、包裝或隨附文件上的識別標記(如類型、批次、序列號);
在產品、包裝或隨附文件上注明制造商的名稱、聯系方式和網站;
提供至少5年的支持,如果產品不足5年,則提供生命周期的支持;
確保在支持期內發布的安全更新在至少10年或剩余的支持期內保持可用,以較長者為準。
2、強制性文件
制造商必須滿足以下強制性文件要求:
(1)技術文檔:技術文檔包括相關的網絡安全方面內容,如已識別的漏洞、第三方信息和風險評估的更新。技術文檔必須保持10年或產品上市后的整個支持期(以較長者為準)。
(2)歐盟符合性聲明:該文件證明產品符合基本要求。制造商可以提供完整版或帶有完整版在線鏈接的簡化版。兩個版本都必須在10年或產品支持期內保持可用。
(3)用戶信息和說明:這一關于安全安裝、操作和使用的指南必須清晰易懂,并且使用用戶和權威機構能夠容易掌握的語言。該文件必須在10年或支持期內保持在線或物理可訪問。
3、報告機制
這些報告要求旨在加強網絡安全措施,并能夠協調應對漏洞和事件,制造商必須:
(1)必須在24小時內向其指定的歐盟成員國計算機安全事故響應小組(CSIRT)報告任何被惡意行為者利用的產品漏洞。然后,制造商必須在72小時內提交一份總體跟進報告,并在緩解措施出臺后14天內提交一份詳細報告。除特殊情況外,這些漏洞報告將轉發給產品上市所在成員國的其他安全事故響應小組和市場監管機構。同時,制造商還必須將事故通知其用戶。
(2)協同漏洞披露:制造商必須建立協調的漏洞披露政策,并為第三方提供聯系地址以報告產品中的漏洞。當制造商發現產品軟件或硬件組件中的漏洞時,必須向負責該組件的一方報告漏洞。
產品符合性評估相關要求
在將產品投放市場之前,制造商必須對產品進行符合性評估,以確保符合安全要求。法案對產品安全做了分級,主要包括:
(1)未分類或默認級別:這一大類包括大多數帶有數字元素的產品,制造商可以自我評估是否符合安全要求。
(2)第一類和第二類(Classes I and II):該級別被認為是“重要”的數字產品,這些產品必須經過第三方合格評估,它們可以適用統一標準或統一網絡安全認證計劃。第一類和第二類產品具有網絡安全相關功能,如果被破壞,其功能會帶來重大負面影響風險。
(3)“關鍵”的數字產品:該類別包括被認為是基本服務關鍵依賴項的產品,如智能卡或具有安全元件的類似設備、智能計量系統以及用于高級安全目的的其他設備。
數字產品完成符合性評估后,制造商必須起草一份符合性聲明以補充技術文件,并將這些記錄保存十年或支持期內(以較長者為準)。此外,數字產品必須具有CE標志,以表明產品在進入市場之前符合法案標準。這一要求可以視作強制性的安全標簽計劃。
同時,法案還對進口商和分銷商提出相關要求,例如包括對制造商的產品進行盡職調查、發現漏洞后及時通知制造商、向歐洲當局告知重大風險、保留記錄以及售后責任等。
目前,國內物聯網企業出海歐洲已形成較大規模。作為境外企業,如仍想要將物聯網產品銷往歐洲,就必須投入額外合規成本以符合CRA的相關合規要求,而未能完成CRA改造的企業則會被拒之門外。國內物聯網企業可以參考歐盟相關企業實踐,必要時也引入專業的第三方咨詢機構協助完善企業的網絡安全框架,以確保符合CRA規定。同時,政府有關部門、行業協會以及產業鏈中的龍頭企業也可發揮作用,總結共性問題,共同研究合規解決方案,協助企業尤其是中小制造商降低合規成本,順利實現產品出口歐洲。
