具有法律約束力－Pilz提供資訊及實施秘訣：企業如何立即準備好因應網路韌性法案

網路韌性法案（CRA）最近發佈在歐盟官方公報上。法規涵蓋使用數位元件產品的網路資安規範。受影響的企業現在有36個月落實CRA內所提出的要求。部份報告義務必須在接下來的21個月內完成。由誰負責？CRA的要求內容為何？

歐盟網路韌性法案：CRA旨在為消費者及企業提供更佳防護，避免網路攻擊。CRA涵蓋針對可與其他產品通訊的數位產品製造商，進口業者及經銷商的一系列規範。包括硬體和軟體產品。換句話說，智慧型手機或機器人吸塵器等 B2C 領域的產品、控制器和感測器等 B2B 領域的產品，以及作業系統身等純軟體產品皆將受到影響。CRA於 2024 年 11 月 20 日發佈在歐盟官方公報上。本法律立即適用於所有歐盟成員國。

對機器製造商的關鍵要求

• 風險評估與保證：製造商在設計及開發產品時，必須保證在整個產品壽命週期中的適當網路安全程度。
• 安全漏洞管理：除非製造商與商業使用者間另有協議，否則製造商應透過免費資安更新排除已知安全漏洞。
• 文件紀錄：製造商必須辨識並記錄其產品中的安全漏洞與元件。
• 報告義務：在發現到漏洞利用的24小時內，製造商必須透過ENISA（歐盟網路安全局）報告平台提出報告。

目前機器製造商能做的事

身為安全可靠的自動化專家，Pilz建議所有機器製造商立即因應CRA要求，與元件製造商和操作人員一同發展合作概念。機器應在哪個網路區塊中運行？應該如何更新軟體？若此類問題都能事先釐清，各經濟營運商便能履行其新的組織及技術義務。數十年來，Pilz持續協助機器製造商及使用者保障其廠房與機械的安全性，也包括對工業資安的新要求。因為沒有資安，搭載安全措施的機器會因為缺乏防護而易受攻擊。預防性措施不可或缺。

落實CRA規範的2項實用秘訣

1. 隨時維持最新狀態：在eur-lex.europa.eu上訂閱電子報與RSS摘要，隨時掌握歐盟的立法變化。
2. 通用資安建議架構（CSAF）為一標準化的開源架構，針對通訊及機器可處理的安全漏洞與緩解資訊的自動分配，即所謂資安建議。

• 有關工業資安的更多資訊，請參見此處