欧盟《网络弹性法案》正式生效

当地时间12月10日，欧盟《网络弹性法案》（Cyber Resilience Act, CRA）正式生效，作为欧盟首部对包含数字元素产品提出强制性网络安全要求的立法文件，标志着欧盟在增强网络安全保护、抵御网络威胁方面迈出了重要步伐。

CRA共计8章71条，全面规定具有数字元素的硬软件产品（笔记本电脑、交换机、移动设备、手机、路由器、防火墙、移动应用程序、计算机处理单元等）在网络安全方面的各项要求。该法案涵盖数字元素产品从设计、开发到销售的整个生命周期，明确了制造商、进口商、经销商等相关市场主体的责任与义务，强调建立有效监管执行机制的重要性，以避免欧盟成员国在不同法律法规之间可能产生的重叠要求。

据悉，制造商的安全事件报告义务将于2026年9月11日起实施，合格评估机构的通知义务将于2026年6月11日起生效，而其他所有规定则将从2027年12月11日起开始执行。

需要注意的是，某些已经受到现有产品安全法规监管的产品（医疗设备、民用航空器、机动车辆以及为国家安全和防御目的开发的产品），已被排除在该法案适用范围之外。

CRA适用于整个欧盟供应链，涵盖了数字元素产品的制造商、进口商和经营商。符合该法案要求的产品将获得“CE”标志，以表明其符合相关法规的规定。如果进口商或经销商将带有自有品牌的制造商产品投放市场，根据CRA规定，他们将被视为制造商。

一、网络安全基本要求

CRA网络安全基本要求主要围绕两点：一是具有数据元素产品应该满足的要求。在产品在设计、开发和生产过程中应遵循严格的安全标准，通过全面的风险评估确保产品在面临潜在威胁时具备足够的防护能力。产品必须具备安全的默认配置，并提供及时、安全的更新机制，以应对已知漏洞和新兴威胁。

此外，产品需保障用户个人信息和敏感数据的机密性、完整性和隐私安全，同时加强访问控制、加密技术应用和数据防篡改措施，防止未经授权的访问和修改。产品还应具备抵御网络攻击的弹性，能够有效限制潜在的攻击面并实施严格的安全测试，以确保系统在遭受攻击时依然能保持基本的功能可用性。同时，产品应支持用户在需要时安全地删除个人数据，并提供数据迁移机制，确保数据处理符合隐私保护规范。

二是制造商生产具有数据元素的产品需满足的漏洞处理要求。制造商有责任对产品中的漏洞进行及时识别与记录，并通过有效的漏洞管理流程进行修复。特别是，对于已知漏洞，应提供及时、安全的更新，修复方案应尽可能独立于功能性更新，避免对用户现有使用造成干扰。

制造商还应遵循透明的漏洞披露政策，及时公开漏洞信息，包括漏洞的性质、影响范围及修复措施，必要时延迟披露以减少潜在风险。同时，产品应具备自动修复机制，在漏洞被发现时能够快速响应并推送修复更新。

二、各市场主体的相关要求

CRA明确规定，制造商必须确保其产品在投放市场之前符合基本网络安全要求，具体包括进行合格评定并将评定结果纳入技术文件，确保潜在风险得到有效识别和管理。集成第三方组件时，制造商应进行充分的尽职调查，确保这些组件不会引入额外的安全隐患。

此外，制造商需要制定并实施适当的政策和程序，包括协调一致的漏洞披露政策，确保产品的安全性得到持续保障。在产品的生命周期内，制造商应持续监控其合规性，若发现不再符合要求，应采取及时且有效地纠正措施。最后，产品必须随附详细的用户信息和使用说明，确保用户能够充分了解并正确使用产品，同时保障其安全。

根据CRA相关规定，制造商在发现任何安全事件后，必须立即向计算机安全事件响应小组（CSIRT）和欧盟网络安全局（ENISA）提交预警通知，且不得无故延迟。无论情况如何，制造商必须确保在获知事件后 24 小时内向上述机构报告，且安全事件通知应在得知事件后的 72 小时内发出。此外，法案允许自愿通报任何可能影响产品风险状况的漏洞或网络安全威胁。

对于用户，制造商必须在得知安全事件后立即向用户通报，并在必要时提供相关的纠正措施，帮助用户减轻事件可能带来的影响。对于进口商和经销商来说，CRA明确规定，进口商只能将符合网络安全基本要求、包含适当合格评定、CE 标志和技术文件的产品投放市场，经销商应履行谨慎义务，确保所销售的产品具备 CE 标志。

结语

随着数字化时代的深入发展，网络安全问题变得愈加重要。这一背景下，欧盟出台的CRA为加强市场监管和强化企业责任提供了法律框架。为确保法案的有效实施，CRA要求各成员国指定专门的市场监督机构，并为不遵守相关要求的行为设定了严厉的处罚措施。

具体而言，企业若未遵守基本的网络安全要求、制造商义务或报告义务，可能面临高达1500万欧元的罚款，或是违法者全球营业额2.5%的罚款；对于不遵守其他义务的情况，罚款上限为1000万欧元，或是全球营业额2%；若企业向市场监管机构或相关机构提供误导性或不正确的信息，罚款可能高达500万欧元，或是全球营业额的1%。

CRA出台标志着欧盟在提升数字产品网络安全性方面迈出了具有深远战略意义的一步。该法案通过对数字产品全生命周期内的安全性提出更加严格的要求，极大程度在源头上减少由网络漏洞、攻击或操作失误所带来的潜在风险，从而显著提升欧盟市场的整体网络安全防护水平。

更为重要的是，CRA明确规定企业在安全保障方面的责任，推动企业将网络安全融入产品开发的初期阶段，而非事后补救。这一做法有助于实现安全与创新的平衡，使得企业能够在持续推进技术创新的同时，确保产品的安全性。

参考来源 | dataguidance、rpclegal、europa.eu

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。