《網絡彈性法案》（CRA：Cyber Resilience Act）為制造商和零售商在整個產品生命周期中制定了強制性網絡安全要求。其目標是確保購買或使用帶有數字組件的產品或軟件的消費者和企業得到充分保護。

什么是CRA（網絡彈性法案）？

歐盟網絡安全彈性法案（CRA） 是歐盟委員會于2022年9月15日提出的一項歐盟網絡安全法規。

確定了兩個主要目標，旨在確保內部市場的正常運作：

1.通過確保硬件和軟件產品以更少的漏洞投放市場，并確保制造商在產品的整個生命周期中認真對待安全性，為開發具有數字元素的安全產品創造條件;和

2.創造條件，允許用戶在選擇和使用帶有數字元素的產品時考慮網絡安全。

提出了四個具體目標：

1.確保制造商從設計和開發階段到整個生命周期中提高帶有數字元素的產品的安全性;

2.確保連貫的網絡安全框架，促進硬件和軟件生產商的合規性;

3.提高具有數字元素的產品安全屬性的透明度，以及

4.使企業和消費者能夠安全地使用帶有數字元素的產品。

《網絡彈性法案》規定，具有數字元素的產品只有在滿足CRA-Annex I中規定的特定基本網絡安全要求的情況下才能在歐盟市場上銷售。

CRA包括哪些類型的產品？

《歐盟網絡彈性法案》適用于廣泛的數字產品。這包括智能手機和筆記本電腦等消費電子產品、智能手表和聯網家用電器等物聯網（IoT） 設備、路由器和調制解調器等網絡設備以及包括操作系統和應用程序在內的各種軟件產品。

現行法案涵蓋在歐盟銷售或提供的帶有數字元素硬件或軟件的產品。

根據產品類別類型，根據CRA適用不同的合格評定。第一類和第二類的分類見CRA-ANNEX III。

如果您在了解要求以及如何進行方面需要幫助，請聯系HANGYUN。我們正在全面了解這項新規定。

是否有任何產品被排除在外或不在承保范圍內？

是的，某些產品不在CRA的涵蓋范圍內或被排除在外

被排除在外的產品包括那些在網絡安全方面受到充分監管的產品，例如汽車、醫療設備、體外和經過認證的航空設備。

以下是CRA法規未涵蓋的一些產品：

非商業項目，包括開源項目，只要項目不是商業活動的一部分。

服務，特別是云/軟件即服務——“遠程數據處理解決方案”除外。

與EUCC和其他計劃的關系：

《歐盟網絡彈性法案》旨在與現有的網絡安全認證框架結合使用，包括來自CSA（網絡安全法案）的歐盟網絡安全認證計劃 （EUCC：European Union Cybersecurity Certification Scheme）。EUCC基于信息技術安全評估的通用標準，提供自愿認證計劃。但是，《網絡彈性法案》對某些產品引入了強制性合規要求。

它規定了哪些產品必須符合認證標準，可能包括EUCC和其他相關計劃中概述的產品。這種方法確保了整個歐盟更具凝聚力和全面的網絡安全格局，融合了自愿和強制性措施來增強整體數字安全。

CRA何時生效？

預計將于2024年下半年左右生效。我們建議您在ENISA CRA網站上關注CRA中的更新。

什么是CRA過渡期？

制造商必須在規則生效后36個月應用這些規則。除了制造商對事件和漏洞的報告義務的21個月寬限期外。