歐盟網路韌性法案CRA將於2027年強制執行

2024 年 11 月 08 日

2024年10月10日歐盟網路韌性法案(Cyber Resilience Act, CRA)獲得歐盟理事會通過,強化現有的數位產品安全性,包括物聯網(IoT)產品設備及服務(如家用攝像頭、電冰箱、電視機、玩具等)在供應鏈和其生命週期內的網路安全要求。該法案已於今年生效,預估2027年底前提供相關軟硬體服務的廠商需要完全合規。

歐盟網路韌性法案(CRA)的目標是在提高歐盟區域內的網路安全水準,要求在歐盟市場上銷售的數位產品和服務需具備足夠的安全性和韌性。2024年8月,德國萊因早在法案處於表決狀態時,曾強調此法案帶來的強制性的網路安全標準(從設計到維護:歐盟網路韌性法案(CRA)為數位產品安全設新標準)。該法案對產品設計和開發階段的安全性、生命週期內的安全維護、透明度與責任、市場監督和執法等方面給予了重點關注。

CRA引入了全歐盟範圍內的網路安全要求,針對硬體和軟體產品的設計、開發、生產和上市銷售過程,避免因歐盟成員國不同的法律法規而產生重複要求。例如,軟體和硬體產品將帶有CE標誌,表明它們符合該法規的要求。這也就意味著,全球的軟硬體數位產品在歐盟市場上市前需要通過自查或協力廠商檢查,確認滿足歐盟網路安全標準並簽署承諾書,由歐盟頒發「CE」標誌後才可上市銷售,確保這些產品已經過評估,滿足高安全性、健康保護以及環境保護的要求。

CRA將適用於所有直接或間接連接網路的產品。對於現有歐盟規則中已有網路安全規範的產品,如醫療器械、航空產品、汽車等,則排除在外。CRA將讓消費者在選購和使用數位產品時考慮網路安全因素,使他們能更輕鬆地辨識出具備完善網路安全功能的硬體和軟體產品。

CRA適用範圍廣泛,將影響數位產品生態系統中的利害關係人,包括:製造商(生產具有數位硬體和軟體產品的公司),進口商(將數位產品從非歐盟國家帶入歐盟市場的實體),經銷商(參與歐盟境內數位產品供應鏈的企業)。

歐盟網路韌性法案已獲通過,接下來,立法法案將由理事會主席和歐洲議會主席簽署,並於未來幾周內在歐盟官方期刊上發表。新法案將於公布20天後生效,並於生效後36個月開始強制實施,其中部分條款可能會提前適用。

未來,該法案將在合規要求、成本和投資、競爭優勢等方面給企業帶來重要影響。首先,企業需要調整其產品設計、開發和維護流程,以滿足CRA規定的安全要求;其次,企業可能需要在網路安全技術、培訓和外部諮詢等方面進行額外的投入,以確保其產品和服務符合新法規標準;最後,企業的產品和服務一旦符合CRA要求,將能夠大幅提升市場競爭力,贏得消費者信任。

德國萊因持續關注CRA進展,將從合規測試和認證、諮詢和培訓、風險評估等多個方面,通過專業的標準解讀、豐富的認證經驗、專業的檢測能力、高效的審核服務,為企業提供全方位的市場進入支援,協助製造商快速合規地進軍歐盟市場,提升企業的核心競爭優勢:

  • 合規測試和認證:為製造商和服務商測試其產品的網路安全性,並提供認證服務,以確保其符合歐盟網路安全韌性法案的要求。
  • 諮詢和培訓:為企業提供網路安全教育和培訓,幫助理解和遵守該法案的具體要求。
  • 風險評估:進行網路安全風險評估,識別潛在的安全性漏洞,並提供改進建議。