欧盟《网络弹性法案》CRA概述

《网络弹性法案》（CRA：Cyber Resilience Act）为制造商和零售商在整个产品生命周期中制定了强制性网络安全要求。其目标是确保购买或使用带有数字组件的产品或软件的消费者和企业得到充分保护。

什么是CRA（网络弹性法案）？

欧盟网络安全弹性法案（CRA） 是欧盟委员会于2022年9月15日提出的一项欧盟网络安全法规。

确定了两个主要目标，旨在确保内部市场的正常运作：

1.通过确保硬件和软件产品以更少的漏洞投放市场，并确保制造商在产品的整个生命周期中认真对待安全性，为开发具有数字元素的安全产品创造条件;和

2.创造条件，允许用户在选择和使用带有数字元素的产品时考虑网络安全。

提出了四个具体目标：

1.确保制造商从设计和开发阶段到整个生命周期中提高带有数字元素的产品的安全性;

2.确保连贯的网络安全框架，促进硬件和软件生产商的合规性;

3.提高具有数字元素的产品安全属性的透明度，以及

4.使企业和消费者能够安全地使用带有数字元素的产品。

《网络弹性法案》规定，具有数字元素的产品只有在满足CRA-Annex I中规定的特定基本网络安全要求的情况下才能在欧盟市场上销售。

CRA包括哪些类型的产品？

《欧盟网络弹性法案》适用于广泛的数字产品。这包括智能手机和笔记本电脑等消费电子产品、智能手表和联网家用电器等物联网（IoT） 设备、路由器和调制解调器等网络设备以及包括操作系统和应用程序在内的各种软件产品。

现行法案涵盖在欧盟销售或提供的带有数字元素硬件或软件的产品。

根据产品类别类型，根据CRA适用不同的合格评定。第一类和第二类的分类见CRA-ANNEX III。

如果您在了解要求以及如何进行方面需要帮助，请联系HANGYUN。我们正在全面了解这项新规定。

是否有任何产品被排除在外或不在承保范围内？

是的，某些产品不在CRA的涵盖范围内或被排除在外

被排除在外的产品包括那些在网络安全方面受到充分监管的产品，例如汽车、医疗设备、体外和经过认证的航空设备。

以下是CRA法规未涵盖的一些产品：

非商业项目，包括开源项目，只要项目不是商业活动的一部分。

服务，特别是云/软件即服务——“远程数据处理解决方案”除外。

与EUCC和其他计划的关系：

《欧盟网络弹性法案》旨在与现有的网络安全认证框架结合使用，包括来自CSA（网络安全法案）的欧盟网络安全认证计划 （EUCC：European Union Cybersecurity Certification Scheme）。EUCC基于信息技术安全评估的通用标准，提供自愿认证计划。但是，《网络弹性法案》对某些产品引入了强制性合规要求。

它规定了哪些产品必须符合认证标准，可能包括EUCC和其他相关计划中概述的产品。这种方法确保了整个欧盟更具凝聚力和全面的网络安全格局，融合了自愿和强制性措施来增强整体数字安全。

CRA何时生效？

预计将于2024年下半年左右生效。我们建议您在ENISA CRA网站上关注CRA中的更新。

什么是CRA过渡期？

制造商必须在规则生效后36个月应用这些规则。除了制造商对事件和漏洞的报告义务的21个月宽限期外。