作者:趙小飛
12月10日,醞釀4年之久的歐盟《網路彈性法案》(Cyber Resilience Act,CRA)正式生效,這是歐盟理事會將GDPR等法規構建的合規框架進一步向軟硬體產品領域延伸的重要表現,對於歐洲乃至全球網路安全領域影響巨大。
從法案的覆蓋範圍來看,除了汽車、醫療裝置、航空器材等個別已有專門法規適配的特定領域外,CRA適用於任何具備數字元件的軟硬體產品及其遠端資料處理解決方案。這也就意味著,幾乎所有存在聯網等數字化功能的電子類產品,包括電視、冰箱、智慧音響等均被納入CRA的監管範疇。根據其使用範圍的描述,物聯網產品是其中最為典型的使用領域。
雖然該法案提出主要義務到2027年12月11日起適用,但物聯網產品生產商需提前行動起來,做到符合CRA要求。對於國內出口歐洲的物聯網企業來說,按照CRA的要求推進合規性工作是當前一個必選項。
CRA法規實施時間表和需要重點關注的事實
對於國內物聯網產品製造商來說,目前還有36個月的時間來開展合規性工作,需要做的工作包括:
-
強制性網路風險評估
-
技術安全要求的實施
-
安全相關事件的報告義務
-
超過5年或預期產品壽命的免費安全更新
如有違反CRA,將面臨較高的處罰。法案規定,對於未能遵守法案中提出的漏洞報告、網路事件報告或基本網路安全要求的公司,可能面臨高達1500萬歐元或其全球營業額2.5%的行政罰款,以較高者為準;對於不遵守其他義務的情況,罰款上限為1000萬歐元,或是全球營業額2%;若企業向市場監管機構或相關機構提供誤導性或不正確的資訊,罰款可能高達500萬歐元,或是全球營業額的1%。此外,在某些情況下,歐盟成員國當局可以要求廠商從歐盟市場召回或撤出不合規產品。
對於在歐盟市場上佈局物聯網產品的所有制造商來說,他們非常重視這36個月的過渡期,推進產品遵守CRA規定。
一個需要業界高度關注的事實是,CRA的要求可能提升了一些大型製造商對供應鏈管理的要求和難度。在CRA徵求意見階段,遭到了西門子等公司的強烈反饋,其中主要的來自於要求製造商在將來自第三方的部件整合到帶有數字元素的產品中時,應當確保此類部件不會危及產品的安全性的條款。
在這一條款下,產品最終制造商承擔著較高責任,意味著產品製造商在使用某一元件、第三方元件乃至軟體外掛時,都需要對其安全性進行檢驗和確認。對於高度依賴產業鏈國際分工的家電、消費電子、工業物聯網等領域,這一標準的落地極大拓寬了其責任範圍。核心企業或品牌製造商要確保其供應鏈中的供應商所有產品符合CRA標準,不但要求自己對CRA法案具有深入理解,還需要構建高效的第三方供應商CRA管理的制度和流程,如若出現第三方原因造成CRA合規問題,製造商將承擔第一責任,因此這是一個具有較高挑戰性的工作。
物聯網產品的製造商需要做什麼?
為了符合CRA對物聯網產品的要求,物聯網製造商需要開展一系列工作,根據製造商合規指南,以下列出製造商需要完成的一些強制性工作。
1、先決條件
根據CRA相關條款,企業在將產品投放到歐洲市場之前,必須:
-
根據預期用途、可預見條件和預期壽命分析潛在風險;
-
安全地整合各類元件:物聯網製造商在從第三方採購元件時進行盡職調查,包括開源軟體,以確保它們不會危及產品的網路安全;
-
具有解決內部或外部來源報告的漏洞政策和程式,包括協調的披露政策;
-
準備技術檔案;
-
選擇並實施合格評定程式;
-
釋出歐盟一致性宣告並貼上CE標誌;
-
包括產品、包裝或隨附檔案上的識別標記(如型別、批次、序列號);
-
在產品、包裝或隨附檔案上註明製造商的名稱、聯絡方式和網站;
-
提供至少5年的支援,如果產品不足5年,則提供生命週期的支援;
-
確保在支援期內釋出的安全更新在至少10年或剩餘的支援期內保持可用,以較長者為準。
2、強制性檔案
製造商必須滿足以下強制性檔案要求:
(1)技術文件:技術文件包括相關的網路安全方面內容,如已識別的漏洞、第三方資訊和風險評估的更新。技術文件必須保持10年或產品上市後的整個支援期(以較長者為準)。
(2)歐盟符合性宣告:該檔案證明產品符合基本要求。製造商可以提供完整版或帶有完整版線上連結的簡化版。兩個版本都必須在10年或產品支援期內保持可用。
(3)使用者資訊和說明:這一關於安全安裝、操作和使用的指南必須清晰易懂,並且使用使用者和權威機構能夠容易掌握的語言。該檔案必須在10年或支援期內保持線上或物理可訪問。
3、報告機制
這些報告要求旨在加強網路安全措施,並能夠協調應對漏洞和事件,製造商必須:
(1)必須在24小時內向其指定的歐盟成員國計算機安全事故響應小組(CSIRT)報告任何被惡意行為者利用的產品漏洞。然後,製造商必須在72小時內提交一份總體跟進報告,並在緩解措施出臺後14天內提交一份詳細報告。除特殊情況外,這些漏洞報告將轉發給產品上市所在成員國的其他安全事故響應小組和市場監管機構。同時,製造商還必須將事故通知其使用者。
(2)協同漏洞披露:製造商必須建立協調的漏洞披露政策,併為第三方提供聯絡地址以報告產品中的漏洞。當製造商發現產品軟體或硬體元件中的漏洞時,必須向負責該元件的一方報告漏洞。
產品符合性評估相關要求
在將產品投放市場之前,製造商必須對產品進行符合性評估,以確保符合安全要求。法案對產品安全做了分級,主要包括:
(1)未分類或預設級別:這一大類包括大多數帶有數字元素的產品,製造商可以自我評估是否符合安全要求。
(2)第一類和第二類(Classes I and II):該級別被認為是“重要”的數字產品,這些產品必須經過第三方合格評估,它們可以適用統一標準或統一網路安全認證計劃。第一類和第二類產品具有網路安全相關功能,如果被破壞,其功能會帶來重大負面影響風險。
(3)“關鍵”的數字產品:該類別包括被認為是基本服務關鍵依賴項的產品,如智慧卡或具有安全元件的類似裝置、智慧計量系統以及用於高階安全目的的其他裝置。
數字產品完成符合性評估後,製造商必須起草一份符合性宣告以補充技術檔案,並將這些記錄儲存十年或支援期內(以較長者為準)。此外,數字產品必須具有CE標誌,以表明產品在進入市場之前符合法案標準。這一要求可以視作強制性的安全標籤計劃。
同時,法案還對進口商和分銷商提出相關要求,例如包括對製造商的產品進行盡職調查、發現漏洞後及時通知製造商、向歐洲當局告知重大風險、保留記錄以及售後責任等。
目前,國內物聯網企業出海歐洲已形成較大規模。作為境外企業,如仍想要將物聯網產品銷往歐洲,就必須投入額外合規成本以符合CRA的相關合規要求,而未能完成CRA改造的企業則會被拒之門外。國內物聯網企業可以參考歐盟相關企業實踐,必要時也引入專業的第三方諮詢機構協助完善企業的網路安全框架,以確保符合CRA規定。同時,政府有關部門、行業協會以及產業鏈中的龍頭企業也可發揮作用,總結共性問題,共同研究合規解決方案,協助企業尤其是中小製造商降低合規成本,順利實現產品出口歐洲。
