自2027年12月11日起,仅符合网络弹性法案(CRA)要求的产品方可在欧盟境内投放市场。CRA规定了含数字元件产品的网络安全要求。
网络弹性法案包含哪些新要求?哪些产品属于CRA范围?企业需要采取哪些措施? 我们为您梳理了核心要点。
网络弹性法案
网络弹性法案带来了一系列新的要求。未来将适用哪些要求?
有关网络弹性法案的关键问题(FAQ)
什么是网络弹性法案?
网络弹性法案(CRA)是一项欧盟法规,它定义了对具有数字元素的产品的工业信息安全要求。受影响产品必须进行根本性审查与改造。此举至关重要,因自2027年12月起,仅符合网络弹性法要求的产品方可投放市场。
网络弹性法案何时生效?
该法规已于2024年11月20日刊登于欧盟官方公报。它于2024年12月10日生效,并将 于2027年12月11日在欧盟成为强制性的。然而,根据CRA,制造商报告已遭利用漏洞的义务将自2026年9月11日起生效。
CRA究竟要求什么?
该法案旨在为消费者和企业提供更完善的网络攻击防护机制。CRA包含针对具有数字元素、能够与其他产品通信的产品的制造商、进口商和分销商的各种规范。这包括硬件和软件产品。该要求贯穿整个产品生命周期,涵盖从设计、开发、制造、交付、维护到客户现场全周期运行阶段。
网络弹性法案是法规还是指令?
网络弹性法案属于欧盟法规,因此直接适用于欧盟所有成员国,无需转化为各国国内法。
哪些产品属于CRA的适用范围?
CRA涉及含数字组件的产品,此类产品需接受合规性核查。
网络弹性法案(CRA)适用于所有含有数字组件(如软件或高风险人工智能系统)且连接至网络或其他设备的产品。因此,该法案的适用范围极为广泛,涵盖以下产品类别:
- 工业硬件与软件,如物联网设备、可编程逻辑控制器(PLC)及传感器
- 软件解决方案,包括桌面应用、网页应用、移动应用及操作系统
- 私人智能设备及其配套软硬件
这些产品将根据潜在风险划分为不同类别。尤其在关键基础设施、工业生产或能源工业领域使用的系统,被归入更高风险等级。针对此类产品,其符合性评估程序要求正在调整,因其可能对公共安全和经济稳定产生重大影响。
我们能做什么?企业需要满足哪些要求?
生产含数字元件产品的制造商必须遵守CRA的安全要求。这包括进行风险分析,并制定及实施降低风险的应对措施。同时必须建立并维护风险评估文档(以及为降低安全风险所采取的应对措施记录)。该文档须保存至少10年。必须持续监测潜在安全漏洞,在产品典型使用寿命期内(至少5年)免费提供安全更新,并在发现安全漏洞后24小时内向ENISA及相关国家机构报告。
即使已符合CRA要求且未修改的产品,仍须依据透明规则进行测试评估。检测结果文件须保存十年。 还必须创建软件物料清单,并证明开发和测试工作已按照工业信息安全标准进行。
欧盟符合性声明对于CRA意味着什么?
制造商将继续出具欧盟符合性声明,表明已证明符合基本网络安全要求。 对制造商而言,这意味着通过符合性评估将验证其是否满足风险评估、漏洞管理及文件记录方面的要求。若所有要求均满足,则签发符合性声明。
是否仍存在适用于所有欧盟法规的单一欧盟符合性声明?
若含数字元素的产品同时受多项欧盟法规约束,且每项法规均要求欧盟符合性声明,则可签发一份适用于所有欧盟法规的统一声明。该声明需明确列出相关欧盟法规及其在《欧盟官方公报》的引用依据。
欧盟符合性声明的保存期限是多久?
制造商需为每种产品型号编制书面符合性声明,并在含数字元素的产品投放市场后十年内或产品支持期内(以较长者为准)向国家主管部门提供该声明。符合性声明必须注明其适用的产品型号。相关当局提出要求时,应提供符合性声明的副本。
网络弹性法案和NIS 2有何区别?
- CRA规定了 含数字元素产品的设计、开发和制造的基本网络安全要求,并明确了经济运营商在这些产品网络安全方面的义务。
- NIS 2指令针对公司,要求它们采取组织和技术措施以降低公司内部的工业信息安全风险。
- 加强欧盟的网络安全:这两套法规 - 《网络弹性法》与《NIS 2指令》 - 通过聚焦不同层级的网络安全形成互补:《网络弹性法》侧重产品安全,《NIS 2指令》则针对基础设施和关键服务的安全性。二者共同为欧盟整体网络安全水平的提升作出重要贡献。
Pilz产品是否符合网络弹性法案的要求?
多年来,Pilz始终依据IEC 62443-4-1标准构建其开发流程。作为“工业信息安全基础标准”,该标准定义了产品安全开发流程 - 即“安全开发生命周期过程”。TÜV Süd在审核中确认了我们开发流程的合规性。Pilz不仅安全,而且可靠!
这对我们的客户至关重要,因为除新颁布的机械法规(欧盟法规2023/1230)外,另一项涉及安全的法规 - 网络弹性法案(欧盟法规2024/2847)也将于2027年强制实施。
具体而言,现有产品将在必要时进行改造,新产品开发将遵循CRA规范,合规性(CE认证)也将依据适用要求进行调整。不符合要求的产品将停止生产,或作为备件继续供应。但后者不得用于新安装项目。
有关网络弹性法案的更多信息
顶部
总部
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
德国
电话: +49 711 3409-0
电子邮件: info@pilz.de
技术支持
电话: +49 711 3409 444
电子邮件: support@pilz.com
美洲
- 加拿大: +1 888-315-PILZ (315-7459)
- 墨西哥: +52 55 5572 1300
- 巴西: + 55 11 4942-7032
- 美国 (免费电话): +1 877-PILZUSA (745-9872)
欧洲
- 爱尔兰: +353 21 4804983
- 瑞士: +41 62 889 79 32
- 德国: +49 711 3409 444
- 荷兰: +31 347 320477
- 土耳其: +90 216 577 55 52
- 奥地利: +43 1 7986263-444
- 西班牙: +34 938497433
- 瑞典: +46 300 13990 / +45 74436332
- 俄罗斯: +7 495 6654993
- 芬兰: +358 10 3224030 / +45 74436332
- 法国 (免费电话): +33 3 88104000
- 意大利: +39 0362 1826711
- 丹麦: +45 74436332
- 英国: +44 1536 460866
- 葡萄牙: +351 229 407 594
- 比利时: +32 9 321 75 70
亚太
- 泰国: +66 210 54613
- 新西兰: +64 9 6345350
- 中国: +86 400-088-3566
- 中国台湾: +886 70 1015 0068 (ç¶å°ç¶²è·¯é»è©±)
- 澳大利亚 (免费电话): +61 3 9560 0621 / 1300 723 334
- 日本: +81 45 471 2281
- 韩国: +82 31 778 3390
- 新加坡: +65 6829 2920