Cyber Resilience Act 标准化请求 M/606 解读
概述
M/606 是欧盟委员会于 2025 年发布的标准化请求,包含 41 项标准,旨在支持 Cyber Resilience Act (CRA) 的实施。该请求由欧洲标准化组织(CEN、CENELEC、ETSI)主导开发,与行业代表密切合作。
标准化在 CRA 中的作用
协调标准与符合性推定
根据 CRA 法规,符合协调标准(Harmonised Standards)的数字产品将被推定符合 CRA 的基本网络安全要求。这意味着:
- 制造商可以通过采用协调标准来证明产品合规
- 协调标准将 CRA 的基本要求转化为详细的技术规范
- 标准化过程遵循《标准化法规》(Regulation (EU) No 1025/2012)
利益相关方参与
标准化过程确保利益平衡,包括:
- 消费者组织
- 开源组织
- 行业代表
- 民间社会利益相关方
M/606 标准体系结构
横向标准(Horizontal Standards)
横向标准提供通用框架,促进一致性,为 CRA 合规提供横向流程:
| 领域 | 说明 |
|---|---|
| 漏洞处理 | 漏洞管理流程和要求 |
| 风险管理 | 网络安全风险评估方法论 |
| 技术文档 | 技术文档编制要求 |
| 符合性评估 | 符合性评估程序指南 |
垂直标准(Vertical Standards)
垂直标准(也称产品特定标准)针对特定产品类型,考虑其预期用途和可预见使用风险:
| 产品类别 | 说明 |
|---|---|
| 重要产品 Class I | Annex III Class I 产品 |
| 重要产品 Class II | Annex III Class II 产品 |
| 关键产品 | Annex IV 产品 |
支持性交付物
除标准外,欧洲标准化组织还在开发以下支持性交付物:
| 类型 | 内容 |
|---|---|
| 术语 | 统一的术语和定义 |
| 风险评估方法论 | 行业风险评估方法 |
| 威胁目录 | 通用威胁清单 |
优先开发领域
M/606 标准化请求优先开发覆盖以下产品类别的标准:
重要产品(Annex III)
- Class I: 操作系统、路由器、密码管理器、智能家居产品等
- Class II: 管理程序、防火墙、防篡改芯片等
关键产品(Annex IV)
- 安全硬件设备
- 智能电表网关
- 智能卡和安全元件
如何参与 CRA 标准化
参与途径
确定感兴趣的领域
- 访问 STAN4CRA 了解标准开发活动
- 识别相关的技术委员会(TC)
联系国家标准化机构
- 联系所在国家的国家标准化机构或委员会
- 表达参与意向
完成注册和入职
- 按照指引完成注册流程
资金支持
CYBERSTAND.eu 为利益相关方参与 CRA 标准化提供资金支持,特别面向:
- 开源社区
- 消费者协会
- 网络安全专家和实验室
- 学术机构
利益相关方分类
行业
| 类型 | 说明 |
|---|---|
| 产品制造商 | 包含数字元素的产品制造商 |
| 服务提供商 | 数字服务提供商 |
| 中小企业 | SMEs |
| 进口商和分销商 | 产品进口商和分销商 |
市场监督
| 类型 | 说明 |
|---|---|
| 欧盟委员会和机构 | ENISA、JRC 等 |
| 国家市场监督机构 | 各国市场监督部门 |
| 公告机构 | Notified Bodies |
标准开发时间线
| 阶段 | 说明 |
|---|---|
| 2025 Q1 | M/606 发布,标准化工作启动 |
| 2025-2026 | 标准开发阶段 |
| 2026 Q4 | 首批标准预期发布 |
| 2027 Q4 | CRA 全面适用前完成主要标准 |
参考链接
官方资源:
- CRA 标准化页面
- M/606 文档注册
- STAN4CRA - CRA 标准开发活动信息
参与支持:
- CYBERSTAND.eu - 利益相关方参与支持平台
相关法规:
- Regulation (EU) No 1025/2012 - 标准化法规
- Regulation (EU) 2024/2847 - Cyber Resilience Act
CRA, Cyber Resilience Act, M/606, harmonised standards, 标准化 — 2026年3月15日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论