2024年10月10日,欧盟理事会宣布通过《网络弹性法案》(Cyber Resilience Act)。该法案于今年3月12日经欧洲议会批准通过,旨在确保具有数字功能的产品(例如“物联网”(IoT)产品)安全可用并抵御网络威胁。

背景:

该法案由欧盟委员会主席冯德莱恩在 2021 年 9 月首次宣布, 2022 年 5 月 23 日在欧盟理事会关于欧盟网络态势发展的结论中被提及,要求欧盟委员会在 2022 年底前提交其提案。

2022 年 9 月 15 日,委员会提交了《网络弹性法案提案》,该法案将补充现有的欧盟网络安全框架:

    • 网络和信息系统安全指令(NIS 指令)

    • 关于在整个联盟实现高水平网络安全措施的指令(NIS 2 指令)

    • 欧盟网络安全法案

    关键要素:

  • 制造商义务:

    该法案定义了“包含数字元素的产品”和“制造商”,并规定了设计、开发和生产过程中必要的网络安全措施。制造商必须确保产品没有已知漏洞、默认安全,并提供数据机密性和可转移性。他们还必须建立漏洞事件报告机制,并设定具体的通知时间表。

  • 网络安全要求:

    引入了欧盟范围内的网络安全要求,用于硬件和软件产品的设计、开发、生产和上市,以避免欧盟成员国不同立法产生的重叠要求。例如,软件和硬件产品将带有CE 标志,以表明它们符合法规要求。在欧洲经济区 (EEA) 扩展单一市场上交易的许多产品上都出现了“CE”字样。它们表示在欧洲经济区销售的产品已经过评估,符合高安全、健康和环境保护要求。

  • 适用范围:

    适用于所有直接或间接连接到其他设备或网络的产品。现有欧盟规则中已规定了网络安全要求的产品可获豁免,例如医疗设备、航空产品和汽车。

  • 消费者识别:

    允许消费者在选择和使用包含数字元素的产品时考虑网络安全因素,以便于更容易识别具有适当网络安全功能的硬件和软件产品。

该法案通过后,将由欧盟理事会主席和欧洲议会主席签署,并在未来几周内发布在欧盟官方公报上。预计将在发布后 20 天生效,并将在生效后 36 个月内适用,但部分条款可提前适用。

本文来源自“European Council",https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

责任编辑:王婉清

声明:本文来自数据法律资讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。