12月10日,醞釀4年之久的歐盟《網絡彈性法案》(Cyber Resilience Act,CRA)正式生效,這是歐盟理事會將GDPR等法規構建的合規框架進一步向軟硬件產品領域延伸的重要表現,對于歐洲乃至全球網絡安全領域影響巨大。
從法案的覆蓋范圍來看,除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外,CRA適用于任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味著,幾乎所有存在聯網等數字化功能的電子類產品,包括電視、冰箱、智能音響等均被納入CRA的監管范疇。根據其使用范圍的描述,物聯網產品是其中最為典型的使用領域。
雖然該法案提出主要義務到2027年12月11日起適用,但物聯網產品生產商需提前行動起來,做到符合CRA要求。對于國內出口歐洲的物聯網企業來說,按照CRA的要求推進合規性工作是當前一個必選項。
對于國內物聯網產品制造商來說,目前還有36個月的時間來開展合規性工作,需要做的工作包括:
強制性網絡風險評估
技術安全要求的實施
安全相關事件的報告義務
超過5年或預期產品壽命的免費安全更新。