《欧盟网络安全弹性法案》CRA现已逐步进入全面实施阶段。对于那些产品已经在《欧盟无线电设备指令》RED 范围的产品制造商,可能会关心对于已经符合了网络安全协调标准EN 18031的产品,需要采取哪些措施来进一步确保符合网络弹性法案CRA呢?
当前的RED指令最初于2014年推出,并于2017年起生效,今天的情况已经于当时大不相同。 网络威胁变得更具攻击性、更复杂且更加无情。而人工智能(AI)的能力表明,这种发展趋势短期内不会放缓。
2022年,欧盟发布了第2022/30号授权法规-“RED Cyber”),并于2024年生效,为联网无线电设备引入了三个方面的“基本网络安全要求”:1)、设备不得危害网络或滥用资源,2) 必须保护个人数据和隐私,3)’ 应防范欺诈行为。
2025年初发布的EN18031标准为符合这些法规性通用要求提供了合规判定依据。从那时起,制造商已投入大量资源用以确保满足这些要求。
与此同时,欧盟《网络安全弹性法案》(CRA)也已针对所有包含数字元素的产品正式生效。那么,已满足RED网络安全要求的产品应如何高效地满足CRA带来的新要求呢?
“RED Cyber”为无线电设备引入了网络安全要求。CRA在遵循类似原则的基础上,显著扩大了适用范围和义务深度。 已经基于EN 18031标准确认符合RED网络安全要求的设备,预计将需要满足以下条件:
具备基于风险的网络安全方案
从设计阶段嵌入的产品级安全要求
技术文档及符合性评估流程
某些漏洞相关考虑
某些供应链相关考虑
CRA需要进一步的运营实施、生命周期治理以及供应链成熟度。
目前,CRA法规的协调标准尚未正式发布,公告机构也还没正式指定。 各种横向和垂直标准正处于不同的开发阶段。
安全的软件开发生命周期(SDLC)、漏洞管理和加密等要素,可能会由适用于各类产品的横向标准来涵盖。
垂直标准是针对特定产品或行业、解决某些产品类别/等级中具体风险的标准,反映了该产品对网络安全的重要性。例如,智能卡属于“关键”级别,密码管理器属于“重要一级”,而消费电子产品通常为“默认”级别。
CRA合规的截止日期正在日益临近,2026年9月将首先强制漏洞处理要求,2027年12月将全面强制实施。制造商应明确自身的现状,及时采取必要的关键步骤以实现CRA合规。欢迎访问Nemko Digital 网页中的CRA 符合性指南详细了解。