团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过80+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
引言
2024年12月10日,欧盟《网络弹性法案》生效,对具有数字元素的硬件和软件产品(PDE)提出了强制性的网络安全要求。
该要求将于2027年12月11日之前完全适用,并从2026年9月11日开始为制造商设立提前报告义务。
CRA的义务主体主要包括:PDE制造商、进口商、分销商。
法案原文 | 图源:EUR-Lex官网
01
基本要求
该法案规定,PDE必须满足该法案中概述的几项基本要求,以确保其网络安全和投放市场的要求,其中包括:
1. 与此类产品特性相关的安全要求,包括产品的设计、开发和生产,必须确保根据风险提供适当级别的网络安全;
2. 漏洞处理要求,包括漏洞的识别和记录,以及实施测试、政策和措施来促进信息共享。
此外,该法案还明确了哪些产品符合“具有数字元素的重要产品”的条件,以及必须满足哪些额外要求。该法案还包括欧盟人工智能法案中高风险人工智能系统的具体规定,以确保协调一致。
02
制造商的一般义务
该法案明确了制造商的义务,其中包括:
1. 确保其产品在投放市场时满足基本要求,特别是通过进行合格评定;
2. 进行网络安全风险评估并将其纳入技术文档;
3. 在集成来自第三方的组件时进行尽职调查;
4. 实施适当的政策和程序,包括协调的漏洞披露政策;
5. 确保产品保持合规,如果情况不再如此,需要采取纠正措施;
6. 为用户提供信息和说明。
03
制造商的报告义务
对监管机构,制造商的报告义务必须要在24小时内履行,不得无故拖延,并且在任何情况下都必须向计算机安全事件响应小组(CSIRT)和欧盟网络安全局(ENISA)提交早期警告通知,说明产品中包含的任何具有数字元素的积极利用的漏洞或对产品安全的任何影响。事件通知也必须在获悉事件后的72小时内发出。该法案还允许就可能影响产品风险状况的任何漏洞或网络威胁进行自愿通知。ENISA将会建立一个单一的报告平台。
对用户,制造商必须在意识到事件后立即通知用户,并在必要时通知用户可采取的纠正措施以减轻事件的影响。
04
进口商和分销商的义务
该法案明确规定:
1. 进口商只能将具有符合基本要求的数字元素的产品投放市场,并确保包含适当的合格评定、CE 标志和技术文件
2. 分销商必须谨慎行事,并且商品必须带有 CE 标志。
05
执法情况
该法案将由会员国指定的监管机构执行,这些机构可以:
1. 要求经营者杜绝违规行为,消除风险;
2. 禁止或限制市场上的有问题的产品;
3. 下令撤回或召回产品;
4. 处以最高 1500 万欧元的罚款。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过80+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、联合国世界丝绸之路委员会专家、中国国际贸易促进委员会深圳调解中心专家调解员、广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
