“安全且有韧性”：网络韧性法案 – 产品安全和制造商义...

fabiha01

在我们的博客系列“安全与弹性”的第四部分中，我们探讨了《网络弹性法案》（CRA） 及其对制造商的产品安全要求和义务。 CRA首次关注数字设备和软件的产品安全，对现有的安全法规进行了补充。 《NIS 2 实施和网络安全加强法案》（NIS2UmsuCG，政府草案）和《KRITIS 保护伞法案》（政府草案）规范了关键基础设施运营商的组织和物理安全措施，而《CRA》则对具有数字元素（PDE）的产品制造商、进口商和分销商提出了具有约束力的要求。目的是尽量减少整个产品生命周期中的安全漏洞，并增强数字系统的弹性（参见BSI CRA 2024）。

图表显示了 CRA 的时间表，从 2024 年到 2027 年。
图：自己的插图
在针对物联网设备和软件的网络攻击日益增多的时代，这项法规是必要的一步。根据 ENISA 2023 报告，企业网络中很大一部分安全漏洞是由于不安全的产品造成的（参见ENISA 2023）。Mirai 僵尸网络等例子表明，受感染的物联网设备可能会被滥用来发动大规模攻击。 CRA 通过将“设计安全”和“默认安全”作为法律要求来解决这一问题。

制造商和市场参与者的义务
下图显示了产品制造商和其他市场参与者在 CRA 下的不同级别的义务。

关于 CRA 和受影响产品的带有数字元素的图形。
图：自己的插图
CRA 要求制造商在开发阶段将安全功能集成到“具有数字元素的产品”（PDE）中（“设计安全”），并默认激活它们（“默认安全”）。公司必须建立风险管理系统，持续评估潜在的漏洞并调整安全措施（另请参阅下文：BSI CRA 2024）。

特别相关的是创建软件物料清单（SBOM）的义务。该文档列出了产品的所有组件，加拿大商业传真列表 并允许操作员快速识别漏洞。 CRA 还要求定期对物联网设备和工业控制系统等安全关键产品进行更新和修补。这些必须在产品的整个生命周期内提供- 但至少五年。

报告义务在加拿大税务局 (CRA) 中也发挥着核心作用。制造商必须在24小时内向有关部门报告安全漏洞和事件。该法规旨在确保能够及早发现潜在的攻击并采取对策。不符合这些要求的产品不得在欧盟销售，并且必须从市场上召回。

CE标志和认证
CRA 的另一个核心要素是加贴CE 标志的义务。只有符合安全要求并通过测试的产品才可以贴上CE标志并投放到欧洲市场上。合格评定机构（CAB）负责测试和认证。

图表显示了根据 CRA 划分的不同产品类别。
图：自己的插图
认证要求取决于产品的风险状况。高风险产品，例如：路由器或工业控制系统等安全风险较低的设备必须比安全风险较低的设备接受更全面的测试。制造商必须定期审查其产品，以确保即使在更新和功能变化后仍符合 CRA 要求。

不遵守规定将受到严厉制裁：

罚款最高可达1500万欧元或全球年营业额的2.5%。
使用没有 CE 标志的产品将面临刑事后果。
其后果可能还包括吊销经营许可证。
制造商和供应商面临的挑战
CRA 给制造商带来了重大挑战。将安全措施集成到产品开发中会增加成本和开发时间。尤其是资源有限的小公司必须引入新流程来满足要求。

另一个问题是供应链风险。许多产品由来自不同供应商的零部件组成。制造商必须确保所有组件（包括第三方组件）符合 CRA 要求。这需要透明的文件和定期的审计。

KBS的短缺也可能成为一个瓶颈。由于认证需求将急剧增加，新产品上市可能会出现延迟的风险。

与 NIS2UmsuCG 和 KRITIS 保护伞法的协同作用
CRA 与其他监管框架密切相关。虽然 NIS2UmsuCG 涵盖组织安全措施，KRITIS 总体法涵盖物理弹性，但 CRA 确保用于实施要求的技术的安全性。

该图显示了 CRA 下产品的安全要求。
图：自己的插图
例如，能源供应商必须根据 NIS2UmsuCG 实施信息安全管理系统 (ISMS)，并根据 KRITIS 综合法制定应急计划。同时，其网络中使用的智能电表必须符合CRA的要求，例如加密通信和定期安全更新。

全生命周期安全
CRA 为数字产品的安全性定义了新的标准，并呼吁制造商对其产品的整个生命周期负责。同时，CRA明确表示网络安全是产品开发不可或缺的一部分。战略性地实施这些要求的制造商将获得长期竞争优势，并积极为数字基础设施的弹性做出贡献。

我们的博客系列“安全与弹性”的第五篇文章涉及审计、合格评定和合格评定机构（CAB）的作用等主题。