EU《Cyber Resilience Act》達成最終協議,將加強連網產品(從智慧玩具到工業機械產品)的網路安全,解決硬體和軟體中的漏洞。
生效後,硬體和軟體產品的製造商、進口商和分銷商將有 36 個月的時間適應新要求,但與製造商的事件和漏洞報告義務相關的要求,將只有 21 個月的寬限期。
新 CRA 法規主要希望達成的目標如下:
⚠ 新法引入了歐盟範圍內針對硬體和軟體產品的設計、開發、生產和上市的網路安全要求,以避免歐盟成員國不同立法產生的重疊要求。(🚩為何重要?製造商將需要關注自家產品的 security development lifecycle、量產到產品退役階段的網路安全議題!)
⚠ 該法規將適用於所有直接或間接連接到其他設備或網路的產品。(🚩為何重要?涵蓋的製造商、開發商、系統整合商範圍將更加廣泛!)
備註:現有歐盟規則中已規定網路安全要求的產品除外,如醫療設備、航空產品和汽車。
⚠ 該提案旨在補充目前立法上的缺漏,釐清相關連結,使現有的網路安全立法更加連貫,確保具有 “digital components” 的產品,例如:物聯網( IoT )產品,在整個供應鏈及其整段生命週期維持網路安全。(🚩為何重要?網路安全功能將成為未來產品設計開發階段,一定需要納入考量的要素!)
⚠ 最後,該法規將允許消費者在選擇和使用包含 “digital elements” 的產品時考慮網路安全,使他們在購買時,更容易識別具有適當網路安全功能的硬體和軟體產品。(🚩為何重要?製造商可能要考量提供自家產品的 cyber security mark 標章、資訊網頁、通報機制等!)
來源出自 2023 年 11 月 30 日 Council of the EU 新聞稿:
#CyberResilienceAct #歐盟 #cybersecurity法規
