欧盟针对软硬件产品制定广泛的网络安全要求

欧盟《网络弹性法案》（以下简称“CRA”）是一部前所未有的首创性法律，它针对在欧盟市场上提供带有数字元素的软硬件产品的经济经营者，施加了一系列广泛的网络安全要求。

除了关于高风险产品供应商的若干规定外，自欧盟委员会（“欧委会”）于2022年9月15日发布CRA拟议稿以来，CRA的内容、范围和义务并未有太多变化。

为了加强联网产品的网络安全，解决硬件和软件的安全漏洞，并使得欧盟成为一个更安全、更具弹性的地方，CRA做出了以下规定：

对制造商施加了五大类义务。这些义务包括合格评定、产品建档、客户支持、网络安全风险评估和漏洞报告。其中，制造商将被要求在检测到“任何被大肆利用的漏洞”后的24小时内向欧盟网络安全局（“ENISA”）披露。另外，通过监管合格评定的产品将被要求贴上“CE”标志。

对进口商和经销商施加了义务。例如，进口商须确保其进口产品的制造商已经履行自身义务，诸如已经满足所有必要要求并且已经进行了适当的合格评定。此外，经销商有义务确保产品均带有CE标志，以及确保产品制造商已履行某些义务。

将含有数字组件的产品划分为三类：即，“默认”、“重要”和“关键”产品，其中重要产品进一步分为I类和II类产品。该等分类旨在根据每个产品类别所呈现的风险水平和潜在影响来调整安全措施。

• “默认”产品是指不存在关键网络安全漏洞的产品（例如智能玩具、电视或冰箱）。欧委会提供的数据显示，这一类别将涵盖90%的联网设备。不被归类为关键产品或重要产品（II类）的产品制造商可自行评估其是否符合CRA的相关要求。
• “重要”产品（I类）（例如浏览器、密码管理器、防病毒软件、防火墙、VPN）必须遵守统一标准、通用规范或欧洲网络安全认证计划，或者接受第三方就其是否符合CRA要求所做出的评估。
• “关键”产品和 “重要”产品（II类）（例如通用微处理器或某些类型的防火墙等）必须通过第三方评估证明其符合CRA的要求。

部分或完全免除某些受行业立法管制的联网设备的要求。这些豁免适用于包括汽车、医疗设备、体外诊断产品和认证的航空设备在内的某些产品。

要求成员国建立市场监督机构。不遵守CRA要求的处罚最高可达1,500万欧元或全球年营业额的2.5%。

补充现有的欧盟网络安全框架（如《网络和信息系统安全指令2》（“NIS 2指令”））。NIS 2指令关注的是提供必要或重要服务的实体所使用的网络和系统的安全和韧性，而CRA则重点关注市场上带有数字元素的产品的安全和认证。

在获得通过后，CRA将由欧盟理事会和欧洲议会的主席签署，并在未来几周内在欧盟官方公报上发布。新法规将在发布20天后生效，并将在生效36个月后开始适用，但其中部分条款将提前适用。因此，我们谨此建议在CRA适用范围之内的公司尽早开始着手应对这一即将带来深远变革的立法变化。