12月10日,酝酿4年之久的欧盟《网络弹性法案》(Cyber Resilience Act,CRA)正式生效,这是欧盟理事会将GDPR等法规构建的合规框架进一步向软硬件产品领域延伸的重要表现,对于欧洲乃至全球网络安全领域影响巨大。
从法案的覆盖范围来看,除了汽车、医疗设备、航空器材等个别已有专门法规适配的特定领域外,CRA适用于任何具备数字组件的软硬件产品及其远程数据处理解决方案。这也就意味着,几乎所有存在联网等数字化功能的电子类产品,包括电视、冰箱、智能音响等均被纳入CRA的监管范畴。根据其使用范围的描述,物联网产品是其中最为典型的使用领域。
虽然该法案提出主要义务到2027年12月11日起适用,但物联网产品生产商需提前行动起来,做到符合CRA要求。对于国内出口欧洲的物联网企业来说,按照CRA的要求推进合规性工作是当前一个必选项。
对于国内物联网产品制造商来说,目前还有36个月的时间来开展合规性工作,需要做的工作包括:
强制性网络风险评估
技术安全要求的实施
安全相关事件的报告义务
超过5年或预期产品寿命的免费安全更新
如有违反CRA,将面临较高的处罚。法案规定,对于未能遵守法案中提出的漏洞报告、网络事件报告或基本网络安全要求的公司,可能面临高达1500万欧元或其全球营业额2.5%的行政罚款,以较高者为准;对于不遵守其他义务的情况,罚款上限为1000万欧元,或是全球营业额2%;若企业向市场监管机构或相关机构提供误导性或不正确的信息,罚款可能高达500万欧元,或是全球营业额的1%。此外,在某些情况下,欧盟成员国当局可以要求厂商从欧盟市场召回或撤出不合规产品。
对于在欧盟市场上布局物联网产品的所有制造商来说,他们非常重视这36个月的过渡期,推进产品遵守CRA规定。
一个需要业界高度关注的事实是,CRA的要求可能提升了一些大型制造商对供应链管理的要求和难度。在CRA征求意见阶段,遭到了西门子等公司的强烈反馈,其中主要的来自于要求制造商在将来自第三方的部件集成到带有数字元素的产品中时,应当确保此类部件不会危及产品的安全性的条款。
在这一条款下,产品最终制造商承担着较高责任,意味着产品制造商在使用某一组件、第三方组件乃至软件插件时,都需要对其安全性进行检验和确认。对于高度依赖产业链国际分工的家电、消费电子、工业物联网等领域,这一标准的落地极大拓宽了其责任范围。核心企业或品牌制造商要确保其供应链中的供应商所有产品符合CRA标准,不但要求自己对CRA法案具有深入理解,还需要构建高效的第三方供应商CRA管理的制度和流程,如若出现第三方原因造成CRA合规问题,制造商将承担第一责任,因此这是一个具有较高挑战性的工作。
为了符合CRA对物联网产品的要求,物联网制造商需要开展一系列工作,根据制造商合规指南,以下列出制造商需要完成的一些强制性工作。
根据CRA相关条款,企业在将产品投放到欧洲市场之前,必须:
根据预期用途、可预见条件和预期寿命分析潜在风险;
安全地集成各类组件:物联网制造商在从第三方采购组件时进行尽职调查,包括开源软件,以确保它们不会危及产品的网络安全;
具有解决内部或外部来源报告的漏洞政策和程序,包括协调的披露政策;
准备技术文件;
选择并实施合格评定程序;
发布欧盟一致性声明并粘贴CE标志;
包括产品、包装或随附文件上的识别标记(如类型、批次、序列号);
在产品、包装或随附文件上注明制造商的名称、联系方式和网站;
提供至少5年的支持,如果产品不足5年,则提供生命周期的支持;
确保在支持期内发布的安全更新在至少10年或剩余的支持期内保持可用,以较长者为准。
制造商必须满足以下强制性文件要求:
(1)技术文档:技术文档包括相关的网络安全方面内容,如已识别的漏洞、第三方信息和风险评估的更新。技术文档必须保持10年或产品上市后的整个支持期(以较长者为准)。
(2)欧盟符合性声明:该文件证明产品符合基本要求。制造商可以提供完整版或带有完整版在线链接的简化版。两个版本都必须在10年或产品支持期内保持可用。
(3)用户信息和说明:这一关于安全安装、操作和使用的指南必须清晰易懂,并且使用用户和权威机构能够容易掌握的语言。该文件必须在10年或支持期内保持在线或物理可访问。
这些报告要求旨在加强网络安全措施,并能够协调应对漏洞和事件,制造商必须:
(1)必须在24小时内向其指定的欧盟成员国计算机安全事故响应小组(CSIRT)报告任何被恶意行为者利用的产品漏洞。然后,制造商必须在72小时内提交一份总体跟进报告,并在缓解措施出台后14天内提交一份详细报告。除特殊情况外,这些漏洞报告将转发给产品上市所在成员国的其他安全事故响应小组和市场监管机构。同时,制造商还必须将事故通知其用户。
(2)协同漏洞披露:制造商必须建立协调的漏洞披露政策,并为第三方提供联系地址以报告产品中的漏洞。当制造商发现产品软件或硬件组件中的漏洞时,必须向负责该组件的一方报告漏洞。
在将产品投放市场之前,制造商必须对产品进行符合性评估,以确保符合安全要求。法案对产品安全做了分级,主要包括:
(1)未分类或默认级别:这一大类包括大多数带有数字元素的产品,制造商可以自我评估是否符合安全要求。
(2)第一类和第二类(Classes I and II):该级别被认为是“重要”的数字产品,这些产品必须经过第三方合格评估,它们可以适用统一标准或统一网络安全认证计划。第一类和第二类产品具有网络安全相关功能,如果被破坏,其功能会带来重大负面影响风险。
(3)“关键”的数字产品:该类别包括被认为是基本服务关键依赖项的产品,如智能卡或具有安全元件的类似设备、智能计量系统以及用于高级安全目的的其他设备。
数字产品完成符合性评估后,制造商必须起草一份符合性声明以补充技术文件,并将这些记录保存十年或支持期内(以较长者为准)。此外,数字产品必须具有CE标志,以表明产品在进入市场之前符合法案标准。这一要求可以视作强制性的安全标签计划。
同时,法案还对进口商和分销商提出相关要求,例如包括对制造商的产品进行尽职调查、发现漏洞后及时通知制造商、向欧洲当局告知重大风险、保留记录以及售后责任等。
目前,国内物联网企业出海欧洲已形成较大规模。作为境外企业,如仍想要将物联网产品销往欧洲,就必须投入额外合规成本以符合CRA的相关合规要求,而未能完成CRA改造的企业则会被拒之门外。国内物联网企业可以参考欧盟相关企业实践,必要时也引入专业的第三方咨询机构协助完善企业的网络安全框架,以确保符合CRA规定。同时,政府有关部门、行业协会以及产业链中的龙头企业也可发挥作用,总结共性问题,共同研究合规解决方案,协助企业尤其是中小制造商降低合规成本,顺利实现产品出口欧洲。