Cyber Resilience Act 核心要求详解 - Article 10 与 Annex I
概述
Regulation (EU) 2024/2847(Cyber Resilience Act)Article 10 定义了数字产品的基本网络安全要求(Essential Cybersecurity Requirements),这些要求在 Annex I 中详细列出。本文解读这些核心要求的含义和实施要点。
Article 10 基本网络安全要求
法规原文(Article 10(1))
Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks.
核心原则
| 原则 | 说明 |
|---|---|
| 基于风险 | 安全要求与产品风险等级相匹配 |
| 全生命周期 | 覆盖设计、开发、生产、运营全过程 |
| 适度安全 | “appropriate level” 非绝对安全 |
Annex I 详细要求
Annex I 分为两部分:
- Part I:基本网络安全要求(适用于所有产品)
- Part II:漏洞管理要求
Part I:基本网络安全要求
1. 安全设计与默认配置(Security by Design and Default)
| 要求 | 说明 |
|---|---|
| 1.1 | 产品应以安全方式设计、开发和生产,确保在预期使用条件下网络安全风险得到适当处理 |
| 1.2 | 产品应以安全默认配置提供,确保用户无需手动配置即可获得基本安全保护 |
| 1.3 | 产品应确保默认配置下,仅启用必要的服务和功能 |
2. 风险评估
| 要求 | 说明 |
|---|---|
| 2.1 | 制造商应进行风险评估,识别产品在其整个生命周期内可能面临的网络安全风险 |
| 2.2 | 风险评估应考虑产品的预期用途和可预见的误用 |
3. 安全功能要求
| 要求 | 说明 |
|---|---|
| 3.1 | 产品应提供防止未经授权访问的安全机制 |
| 3.2 | 产品应提供身份验证和访问控制机制 |
| 3.3 | 产品应确保数据保密性、完整性和可用性 |
| 3.4 | 产品应提供安全日志记录功能 |
4. 加密要求
| 要求 | 说明 |
|---|---|
| 4.1 | 数据传输应使用适当的加密保护 |
| 4.2 | 敏感数据存储应使用适当的加密保护 |
| 4.3 | 加密算法应符合现行标准 |
5. 第三方组件
| 要求 | 说明 |
|---|---|
| 5.1 | 制造商应确保第三方组件满足相关安全要求 |
| 5.2 | 制造商应维护第三方组件清单 |
6. 安全更新
| 要求 | 说明 |
|---|---|
| 6.1 | 产品应支持安全更新机制 |
| 6.2 | 安全更新应及时提供 |
| 6.3 | 安全更新应经过验证,确保不引入新的安全风险 |
Part II:漏洞管理要求
1. 漏洞报告流程
| 要求 | 说明 |
|---|---|
| 1.1 | 制造商应建立漏洞报告流程 |
| 1.2 | 制造商应指定漏洞报告联系方式 |
| 1.3 | 制造商应及时确认和处理收到的漏洞报告 |
2. 漏洞修复
| 要求 | 说明 |
|---|---|
| 2.1 | 制造商应及时修复已知漏洞 |
| 2.2 | 制造商应发布安全更新 |
| 2.3 | 制造商应通知用户安全更新 |
3. 用户通知
| 要求 | 说明 |
|---|---|
| 3.1 | 制造商应通知用户已修复的漏洞 |
| 3.2 | 制造商应提供漏洞影响评估信息 |
| 3.3 | 制造商应指导用户如何更新 |
实施要点
制造商责任清单
| 阶段 | 责任 |
|---|---|
| 设计阶段 | 安全设计原则、威胁建模、安全架构设计 |
| 开发阶段 | 安全编码、代码审查、安全测试 |
| 生产阶段 | 安全配置、供应链安全、质量保证 |
| 运营阶段 | 漏洞管理、安全更新、用户支持 |
| 报废阶段 | 数据清理、安全退役 |
技术文档要求
根据 Article 13 和 Annex VII,技术文档应包括:
产品描述
- 产品标识和版本信息
- 预期用途和使用场景
- 技术架构说明
风险评估
- 威胁建模结果
- 风险评估方法
- 风险处理措施
安全措施
- 安全设计文档
- 安全功能说明
- 加密机制说明
测试报告
- 安全测试结果
- 渗透测试报告
- 漏洞扫描结果
标准引用
- 引用的协调标准
- 引用的欧洲网络安全认证
与其他法规的关系
| 法规 | 关系 |
|---|---|
| NIS2 Directive | CRA 专注于产品安全,NIS2 专注于实体安全 |
| Cybersecurity Act | CRA 可引用欧洲网络安全认证作为符合性评估方式 |
| GDPR | CRA 的数据保护要求与 GDPR 协同 |
| Product Liability Directive | CRA 合规可作为产品安全责任抗辩依据 |
时间线
| 日期 | 里程碑 |
|---|---|
| 2024-12-10 | 法规生效 |
| 2026-09-11 | 报告义务生效 |
| 2027-12-11 | 法规全面适用 |
参考链接
相关文章
Annex I, Article 10, CRA, Cyber Resilience Act, 基本网络安全要求, 网络弹性法案 — 2026年3月19日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论