從設計到維護:歐盟網路韌性法案 (CRA) 為數位產品安全設新標準



2024年8月8日 | 產品安全

近年來聯網產品數量劇增,相應的網路安全威脅和漏洞也日益增加。針對通信網路、醫療設備、工業系統等重要基礎設施的網路攻擊頻繁發生,給社會經濟帶來了巨大的風險。在此背景下,歐盟現有的《網路資訊安全指令》(NIS Directive)和《通用資料保護條例》(GDPR)等相關法規不足以應對,需更具體、全面的措施來應對當前複雜多變的網路安全環境。因此,2022年9月,歐盟委員會提議制定歐盟網路韌性法案(Cyber Resilience Act,CRA),要求所有在歐盟市場上銷售的聯網設備和軟體在設計、生產、營運及維護等整個生命週期都必須滿足歐盟設定的強制性網路安全標準。

 

製造商需確保網路安全合規性

法規中著重強調了歐盟網路韌性法草案(CRA)對於數位產品的安全要求和評估。其中,非關鍵性產品需要製造商自行評估並聲明符合所有安全要求,而關鍵性產品則需要通過協力廠商符合性評估,根據其子類別採取不同的合規流程。具體如下圖所示:

 

歐盟擬設立市場監督機構,對違規行為處以高額罰款

成員國需要任命市場監督機構來負責執行規定的義務。如果企業不遵守規定,將會面臨不同程度的罰款。例如,製造商可能因不符合安全要求而被處以高達1500萬歐元或全球年營業額的2.5%的罰款。進口商或分銷商也可能因違反其他規定而被處以高達1億歐元或全球年營業額的2%的罰款。這些規定旨在保護消費者權益,維護公平競爭環境。

 

目前草稿版法案處於歐盟投票表決狀態。法案一旦通過,將設定特定的生效日期,並建議各成員國實施相應的法律和法規,同時歐盟機構將持續監測法案的執行情況,評估其效果並根據需要進行修改和完善。在法案正式實施前,我們先帶大家瞭解這強制性網路安全標準法案。

 

歐盟網路韌性法案(Cyber Resilience Act,CRA)是一項旨在提高歐盟地區網路安全保護水準的立法措施,該法案提出了一系列網路安全要求,以確保在歐盟市場上銷售的數位產品和服務具備足夠的安全性和韌性。該法案重點關注以下幾個方面:

 

  • 產品設計和開發階段的安全性 : 確保在產品和軟體設計與開發階段就考慮安全因素,防止潛在漏洞和威脅。
  • 生命週期內的安全維護 :持續監測,保障產品在其整個生命週期內都能及時獲得安全更新和補救,有效應對新出現的網路威脅。
  • 透明度與責任 :設立報備機制,要求製造商和提供商對其產品安全性負責,並及時向用戶及監管機構通報安全問題和更新資訊。
  • 市場監督和執法 : 加強對市場上數位產品和服務的監督,確保其符合網路安全標準,違規的製造商、供應鏈、市場分銷商等都將面臨相應高額處罰措施。

 

法案一旦通過,將在合規要求、成本和投資、競爭優勢等方面給企業帶來重要影響。首先,企業需要調整其產品設計、開發和維護流程,以滿足CRA規定的安全要求;其次,企業可能需要在網路安全技術、培訓和外部諮詢等方面進行額外的投入,以確保其產品和服務符合新法規的標準。企業的產品和服務一旦符合CRA要求,將能夠大幅提升市場競爭力,贏得消費者信任。

 

CRA法案中還有一點值得注意的是,根據擬議法案中的內容,全球的軟硬體數位產品在歐盟市場上市前要通過自行審查或第三方檢查,確認滿足歐盟網路安全標準並簽署承諾書,由歐盟頒發“CE”標誌後才可上市銷售。

 

作為相關標準與法案的共同編撰者,德國萊因TÜV將為企業提供以下服務:

 

  • 合規測試和認證 : 測試產品的網路安全性,並提供認證服務,以確保符合歐盟網路安全韌性法案要求。
  • 諮詢和培訓 :為企業提供網路安全教育和培訓,幫助理解和遵守該法案具體要求。
  • 風險評估 : 進行網路安全風險評估,識別潛在安全性漏洞,並提供改進建議。

 

德國萊因將持續關注CRA進展,以專業標準解讀、豐富認證經驗、專業檢測能力、高效審核服務,助力製造商快速合規地進軍歐盟市場,提升企業競爭優勢。

 

進一步資訊, 請聯絡工業服務與資訊安全部門/ 莊小姐 irene.chuang@tuv.com