行业资讯
我们始终以客户需求为核心,持续提供创新解决方案与行业最新资讯,助力客户把握发展机遇,共享科技未来。
发布时间:2025-10-27
欧盟《网络弹性法案》(CRA)已于2024年11月正式发布。该法案规定,所有在欧盟境内生产、进口或销售的数字产品,都必须满足强制性安全要求,旨在从源头减少漏洞,并要求制造商对产品的全生命周期安全负责。
| 2026年6月起:开始实施符合性评估机构的指定规则。
| 2026年9月起:制造商的安全事件和漏洞报告义务生效。
| 2027年12月起: CRA全面生效,此后在欧盟市场上市的所有适用产品必须完全合规。
除医疗设备、航空、汽车等已有特定行业法规的产品外,CRA适用于所有具有数字元素、并能直接或间接连接设备或网络的产品,包括软件、硬件及其远程数据处理解决方案。
| 支持周期:必须明确并公开产品的安全支持期限,通常不得少于5年。
| 安全更新:在支持期内免费提供安全更新,并默认启用自动更新功能(用户可关闭)。
| 事件报告:发现被主动利用的漏洞或严重影响产品安全的严重事件时,必须在24小时内向相关当局(CSIRT)和欧盟网络安全局(ENISA)报告。
| CE标志:符合CRA要求的产品必须加贴CE标志,表明其符合欧盟法规。
根据产品的关键程度,CRA将产品分为两类:
| 重要产品(Annex III):如操作系统、路由器、智能家居设备、防火墙等。此类产品需进行更严格的符合性评估。
| 关键产品(Annex IV):如硬件安全模块、智能电表网关等。此类产品未来可能被要求通过欧盟网络安全认证计划进行认证。
| 产品安全属性:产品在设计、开发和生产阶段必须满足基本网络安全要求,如安全默认配置、漏洞防护、数据保护等。
| 漏洞管理流程:制造商必须在产品的“支持周期”内建立并遵守漏洞处理流程,包括及时发布安全更新、提供漏洞披露政策等。
科泰检测微信公众号
