《歐盟網路安全彈性法案》CRA現已逐步進入全面實施階段。對於那些產品已經在《歐盟無線電設備指令》RED 範圍的產品製造商,可能會關心對於已經符合了網路安全協調標準EN 18031的產品,需要採取哪些措施來進一步確保符合網路彈性法案CRA呢?
的RED指令最初於2014年推出,並於2017年起生效,今天的情況已經於當時大不相同。網路威脅變得更具攻擊性且更複雜。而人工智慧(AI)的能力表明,這種發展趨勢短期內不會放緩。
2022年,歐盟發佈了第2022/30號授權法規-“RED Cyber”,並於2024年生效,為聯網無線電設備引入了三個方面的“基本網路安全要求”:1、設備不得危害網路或濫用資源,2、必須保護個人資料和隱私,3、應防範欺詐行為。
2025年初發佈的EN18031標準為符合這些法規性通用要求提供了合規判定依據。從那時起,製造商已投入大量資源用以確保滿足這些要求。
與此同時,歐盟《網路安全彈性法案》CRA也已針對所有包含數位元素的產品正式生效。那麼,已滿足RED網路安全要求的產品應如何高效地滿足CRA帶來的新要求呢?
RED Cyber為無線電設備引入了網路安全要求。CRA在遵循類似原則的基礎上,顯著擴大了適用範圍和義務深度。已經基於EN 18031標準確認符合RED網路安全要求的設備,預計將需要滿足以下條件:
具備基於風險的網路安全方案
從設計階段嵌入的產品級安全要求
技術文檔及符合性評估流程
某些漏洞相關考慮
某些供應鏈相關考慮
CRA需要進一步的運營實施、生命週期治理以及供應鏈成熟度。
目前,CRA法規的協調標準尚未正式發佈,公告機構也還沒正式指定。各種橫向和垂直標準正處於不同的開發階段。
安全的軟體發展生命週期(SDLC)、漏洞管理和加密等要素,可能會由適用於各類產品的橫向標準來涵蓋。
垂直標準是針對特定產品或行業、解決某些產品類別/等級中具體風險的標準,反映了該產品對網路安全的重要性。例如,智慧卡屬於“關鍵”級別,密碼管理器屬於“重要一級”,而消費電子產品通常為“預設”級別。
CRA合規的截止日期正在日益臨近,2026年9月將首先強制漏洞處理要求,2027年12月將全面強制實施。製造商應明確自身的現狀,及時採取必要的關鍵步驟以實現CRA合規。
Nemko台灣網路安全服務團隊可為您特定的產品提供網路安全法規和適用技術標準的評估、培訓、進行差異分析、執行評估,簽發認證等服務。您也可以訪問Nemko Digital網頁中的CRA符合性指南瞭解程式。歡迎聯繫我們詳細諮詢。