隨著聯網設備普及,網路安全威脅和漏洞的風險也隨之增加,尤其通信網路、醫療設備和工業系統等關鍵基礎設施的攻擊頻率逐年上升。為了應對這些新挑戰,歐盟在2022年9月提出了《網路韌性法案》(Cyber Resilience Act,CRA),旨在確保所有在歐盟市場銷售的聯網設備和軟體,無論在設計、生產還是營運階段,都必須遵循嚴格的網路安全標準。CRA要求製造商需確保產品符合相應的安全標準,減少數位產品潛在的安全漏洞,保障消費者安全。歐盟亦擬設立市場監督機構,對不符合安全標準的企業進行不同程度的罰款,製造商可能面臨最高1500萬歐元或全球年營業額2.5%的罰款,進口商和經銷商也可能因違規而面臨高達1億歐元或全年營業額2%的罰款。
CRA目的在提高歐盟地區網路安全保護水準的立法措施,其核心內容包括以下幾點:
- 產品設計開發的安全性:要求製造商在設計和開發過程中考慮安全因素,防範潛在漏洞。
- 生命週期的安全維護:確保產品在使用過程中獲得及時的安全更新和修補,應對新興的網路威脅。
- 透明度與責任:建立報備機制,要求製造商和供應商及時向用戶及監管機構通報安全問題和更新資訊。
- 市場監督和執法:加強對市場上數位產品和服務的監管,確保產品符合網路安全標準。
該法案將對企業在合規、成本和市場競爭力方面帶來深遠影響,企業需調整其產品設計開發和維護流程,以滿足CRA規定的安全要求,並可能需在網路安全技術、培訓和外部諮詢等方面進行額外投入。 符合CRA要求的企業將能在市場上獲得競爭優勢,贏得消費者信任。
身為相關標準與法案的共同編撰者,德國萊因持續關注CRA進展,提供合規測試、認證及諮詢服務,幫助企業快速適應歐盟新法規,提升企業市場競爭力。
欲知更多技術細節,請點11/13第七屆物聯網安全高峰論壇