Cyber Resilience Act 法规概述 - Regulation (EU) 2024/2847
概述
Regulation (EU) 2024/2847(Cyber Resilience Act,简称 CRA)是欧盟针对数字产品网络安全的首部横向法规,于 2024 年 12 月 10 日正式发布,旨在确保投放到欧盟市场的硬件和软件产品具有更少的网络安全漏洞,并要求制造商在整个产品生命周期内承担责任。
法规背景
立法目的
| 目的 |
说明 |
| 提升网络安全基线 |
确保数字产品从设计阶段就内嵌安全 |
| 全生命周期责任 |
制造商需对产品的整个生命周期负责 |
| 统一市场规则 |
消除成员国之间的监管差异 |
| 增强消费者信任 |
提供可验证的安全保证 |
适用范围
CRA 适用于所有带有数字元素的产品(Products with Digital Elements, PDE),包括:
| 类别 |
示例 |
| 硬件 |
智能设备、IoT 设备、网络设备 |
| 软件 |
操作系统、应用程序、固件 |
| 远程数据处理服务 |
云服务、SaaS |
核心框架
产品分类体系
CRA 将数字产品分为四个类别:
| 类别 |
说明 |
符合性评估 |
| 默认类别 |
不属于重要/关键产品 |
内部控制(Module A) |
| 重要产品 Class I |
Annex III 列出的产品类型 |
内部控制(Module A)或第三方评估 |
| 重要产品 Class II |
Annex III 高风险产品类型 |
第三方评估(Module B+C/D) |
| 关键产品 |
Annex IV 列出的关键产品 |
第三方评估(Module B+C/D) |
基本网络安全要求
CRA Article 10 和 Annex I 定义了基本网络安全要求(Essential Cybersecurity Requirements, ESR),分为两部分:
Part I:基本安全要求
| ESR |
要求 |
| (a) |
产品上市时不得存在已知可利用漏洞 |
| (b) |
安全默认配置 |
| (c) |
安全更新机制 |
| (d) |
授权访问控制 |
| (e) |
数据保密性 |
| (f) |
数据完整性 |
| (g)-(m) |
其他要求(日志记录、数据删除等) |
Part II:漏洞管理要求
- 漏洞处理流程
- 安全更新发布
- 漏洞披露政策
- 用户通知机制
实施时间线
| 里程碑 |
日期 |
说明 |
| 法规发布 |
2024-12-10 |
官方公报发布 |
| 法规生效 |
2024-12-11 |
法规正式生效 |
| 产品分类实施法案 |
2025-11-28 |
Implementing Regulation 2025/2392 |
| 适用日期 |
2027-12-11 |
法规全面适用(部分条款延后) |
过渡期安排
| 条款 |
适用日期 |
| Article 10(基本要求) |
2027-12-11 |
| Article 11(漏洞处理) |
2027-12-11 |
| Article 13-14(漏洞报告) |
2026-12-11 |
| Article 23(市场监督) |
2026-12-11 |
配套标准体系
EN 40000 系列标准
CRA 的协调标准正在开发中,由 M/606 标准化请求 推进:
| 标准 |
内容 |
预期交付 |
| EN 40000-1-1 |
词汇 |
已发布草案 |
| EN 40000-1-2 |
网络弹性原则 |
2026年8月 |
| EN 40000-1-3 |
漏洞处理 |
2026年8月 |
| EN 40000-1-4 |
通用安全要求 |
2027年10月 |
垂直标准
针对 Annex III 中特定产品类别的垂直标准正在开发:
| 产品类别 |
标准 |
开发组织 |
| 浏览器 |
EN 304 617 |
ETSI |
| 密码管理器 |
EN 304 618 |
ETSI |
| 反病毒软件 |
EN 304 619 |
ETSI |
| VPN |
EN 304 620 |
ETSI/CENELEC |
| SIEM 系统 |
EN 304 622 |
ETSI/CENELEC |
合规要求
制造商义务
| 义务 |
说明 |
| 安全设计与开发 |
遵循 Security by Design 原则 |
| 风险评估 |
识别和评估网络安全风险 |
| 技术文档 |
编制完整的技术文档 |
| EU 符合性声明 |
签发符合性声明 |
| CE 标志 |
在产品上加贴 CE 标志 |
| 漏洞处理 |
建立漏洞处理和披露流程 |
| 安全更新 |
提供及时的安全更新 |
进口商和分销商义务
- 验证制造商已履行合规义务
- 确保产品在运输和存储期间保持合规
- 配合市场监督机构
监管架构
| 机构 |
职责 |
| ENISA |
运营单一报告平台、协调漏洞报告 |
| 成员国主管机构 |
市场监督、执法 |
| CSIRTs |
接收和处理漏洞报告 |
| 欧盟委员会 |
制定实施法案和授权法案 |
与其他法规的关系
| 法规 |
关系 |
| GDPR |
CRA 不影响 GDPR 数据保护要求 |
| NIS2 |
CRA 与 NIS2 互补,覆盖不同范围 |
| Radio Equipment Directive |
EN 18031 为 RED 提供协调标准 |
| Cybersecurity Act |
CRA 扩展了网络安全认证框架 |
参考资源
相关文章
CRA, Cyber Resilience Act, EU 2024/2847, 数字产品安全, 网络弹性法案 — 2026年3月26日
本文阅读量 次
评论