近日,酝酿4年之久的欧盟《网络弹性法案》(Cyber Resilience Act,CRA)正式生效,这是欧盟理事会将GDPR等法规构建的合规框架进一步向软硬件产品领域延伸的重要表现,对于欧洲乃至全球网络安全领域影响巨大。
从法案的覆盖范围来看,除了汽车、医疗设备、航空器材等个别已有专门法规适配的特定领域外,CRA适用于任何具备数字组件的软硬件产品及其远程数据处理解决方案。这也就意味着,几乎所有存在联网等数字化功能的电子类产品,包括电视、冰箱、智能音响等均被纳入CRA的监管范畴。根据其使用范围的描述,物联网产品是其中最为典型的使用领域。
虽然该法案提出主要义务到2027年12月11日起适用,但物联网产品生产商需提前行动起来,做到符合CRA要求。对于国内出口欧洲的物联网企业来说,按照CRA的要求推进合规性工作是当前一个必选项。
对于国内物联网产品制造商来说,目前还有约36个月的时间来开展合规性工作,需要做的工作包括:强制性网络风险评估、技术安全要求的实施、安全相关事件的报告义务、超过5年或预期产品寿命的免费安全更新。
