主页
行业和应用
工业信息安全
《网络弹性法案》(CRA)

《网络弹性法案》(CRA)

通过《网络弹性法案》(CRA)探索数字产品网络安全的未来。明确的指导准则、更高的标准以及开创性的战略，助力更安全的数字时代发展。

《网络弹性法案》(CRA)代表网络安全领域的突破性进展。它明确规定了数字产品制造商的义务，尤其是在安全设计实施方面。在未来，产品必须符合最低安全要求，才能获得CE标志。CRA涉及整个开发过程中的访问保护、保密性、完整性和可用性等基本层面。本文探讨了CRA为制造商带来的挑战和机遇，并展望了IEC 62443国际标准在此背景下可能发挥的关键作用。

在《网络弹性法案》(CRA)中探索数字产品网络安全的未来——明确的指导准则、更高的标准和开创性的战略，助力更安全的数字时代发展。

什么是CRA？

《网络弹性法案》(CRA)为需要采用安全设计策略的数字产品制造商设立了明晰的指导准则。在未来，受《网络弹性法案》(CRA)约束的产品必须符合最低安全要求，才能获得CE标志。该法律文本特别强调了访问保护、保密性、完整性和可用性等方面，这些必须纳入整个开发过程。此外，CRA对产品漏洞管理流程以及制造商必须提供的安全更新期限具有管理权。

CRA旨在加强对欧盟数字基础设施的信任，并提高欧洲公司在全球范围内的竞争力。作为一项欧盟法案，该法案无需各国执行，已于2024年12月10日在欧盟范围内生效。

作为一项国际标准，IEC 62443发挥着至关重要的作用，涵盖了所需的安全开发流程以及产品和系统的技术要求。IEC 62443覆盖范围统一，可作为统一CRA标准的坚实基础。为了满足漏洞管理要求，所有产品均需要一个标准化软件物料清单(SBOM)。此类所有软件部件的全面概述必不可少。此外，已知漏洞必须以数字格式记录，例如，通过通用漏洞评分系统(CVSS)。

对谁有影响？

《网络弹性法案》(CRA)是一项欧盟法律，影响所有具有通信功能的数字元件产品。CRA涵盖硬件和软件，以新立法框架为基础。该法案规定了产品投放市场时必须满足的约束性要求。符合这些规定的产品均带有CE标志。

反之，不符合规定的产品不得投放市场。此外，供应商必须将不符合网络安全要求的现有产品撤出市场。

这对制造商来说意味着什么？

产品要求

CRA规定了产品的明确安全要求，如访问保护、保密性、完整性、可用性，甚至安全交付状态。为了确保安全的开发过程，在设计、开发和制造过程中必须首先考虑这些方面。

流程要求

作为安全开发流程的一部分，制造商须积极审查其产品漏洞，并立即予以修复。应免费提供安全更新，并持续五年时间。CRA还引入了额外的报告义务：如果制造商意识到其产品可能存在危及安全的被积极利用的漏洞或攻击，如篡改下载区域，则必须立即通知欧盟网络安全局(ENISA)。

一致性评估

投放市场前，制造商必须确保其产品符合规定的标准。评估以产品的关键性分类为基础。此分类须符合欧洲标准，或由授权机构进行测试。重点是行业关键基础设施。在此背景下，需适用统一标准和/或与认可机构合作。

这对用户来说意味着什么？

CRA可使用户受益于符合更高网络安全标准的产品，减少黑客、安全漏洞或其他威胁带来的风险。此类产品必须带有CE标志，以表明其符合新要求。

制造商还需要在产品整个生命周期对其进行维护，并提供自动安全更新服务。因此，用户可以信赖CE标志产品的网络安全保证。

所有信息一目了然

《网络弹性法案》全面指南

获取《网络弹性法案——数字产品网络安全的未来》白皮书，快速了解所有关于CRA的重要信息。该文件包含有关《欧盟法案》的所有基本事实，并深入阐述菲尼克斯电气如何满足CRA的要求。

立刻下载白皮书

网络安全已非选择，而为必要。

制造商面临的挑战是，确保安全开发流程并在产品上市前实施全面的安全措施。这会涉及额外的工作量，可能会影响资源配置和生产时间。新法案提高了安全级别，显著降低了网络安全风险，有望使最终用户受益。然而，制造商还面临一些需要付出额外努力的挑战。尽管如此，我们仍应正视这些挑战，因为对于不合规行为，有关当局可能会要求改进产品或召回产品，并处以最高1,500万欧元或全球年收入的2.5%的罚款。

不过，希望还是有的，因为__符合IEC 62443-4-1标准的安全开发流程和符合IEC 62443-4-2 标准的功能规范__，已满足CRA规定的基本要求。因此，建议实施IEC 62443标准。