CRA 對產品提出了明確的安全要求,包括存取保護、機密性保護、完整性、可用性和安全出廠狀態。為了確保開發流程的安全性,在設計、開發和生產過程中必須首先考慮到上述因素。
《網路韌性法案》(CRA)
《網路韌性法案》是網路安全領域的一個重要里程碑。該法案為數位產品製造商規定了明確的義務,特別是在實施「設計安全」策略方面。法案生效後,產品必須符合法案中規定的最低安全要求,才能獲得備受推崇的 CE 標誌。針對整個開發過程中所涉及的存取保護、機密性、完整性和可用性等重要問題,該法案均做出了相關規定。本文介紹了 CRA 為製造商帶來的挑戰和機遇,並探討了 IEC 62443 國際標準作為關鍵要素在其中可能發揮的作用。
歡迎您透過《網路韌性法案》(CRA) 瞭解數位產品網路安全的未來 – 明確的指南、更高的標準和開創性的策略,讓數位時代更加安全。
何謂 CRA?
《網路韌性法案》(CRA) 為數位產品製造商制定了明確的指南,要求其必須採取「設計安全」策略。法案生效後,法案中規定的產品必須符合最低安全要求,才能獲得備受推崇的 CE 標誌。該法案重點列明了存取保護、機密性、完整性和可用性等方面的規定,要求製造商必須將上述規定融入整個開發流程。此外,CRA 還對漏洞管理作出了規定,指明了製造商有義務提供安全更新的期限。
CRA 的目標是提高人們對歐盟數位基礎設施的信心,以及歐洲企業在全球的競爭力。作為一項無需各國轉化的法案,CRA 於 2024 年 12 月 10 日在整個歐盟範圍內生效。
作為一項國際標準,IEC 62443 涵蓋了所需的安全開發流程以及對產品和系統的技術要求,因此發揮著關鍵作用。由於這種普遍適用性,IEC 62443 有望成為統一的 CRA 標準的基礎。所有產品都需要標準化的軟體物料清單 (SBOM),以滿足漏洞管理方面的要求。這種對所有軟體元件的全面概述至關重要。此外,製造商必須以數位格式將已知的漏洞記錄下來,如藉助通用漏洞評鑑系統 (CVSS)。
誰受此影響?
《網路韌性法案》(CRA) 是一項歐盟法案,適用於所有具有通訊功能的數位產品。CRA 涵蓋了硬體和軟體,以新立法框架為基礎。該法案列明了將產品投放市場時必須遵照的強制性要求。符合這些規定的產品均帶有 CE 標誌。
反之,不符合規定的產品就不允許再投放市場。此外,如果現有產品不符合網路安全要求,製造商也必須將其下架。
這一情況將對製造商產生哪些影響?
作為安全開發流程的一部分,製造商必須積極檢查其產品是否存在漏洞,並立即加以修復。對於這種安全更新,製造商應在五年內免費提供。CRA 還新規定了額外的報告義務:如果製造商發現其產品面臨著被主動利用且可能危及安全的漏洞或攻擊(如透過操縱下載區域),必須立即上報歐洲網路安全局 (ENISA)。
在投放市場前,製造商必須確保其產品符合規定的標準。評估過程以產品的重要性分類為基礎。該重要性分類應符合歐洲標準,或由授權機構進行測試。其中,尤其受關註的是工業領域的關鍵基礎設施。在此背景下,可以預見的趨勢是,採用統一標準和/或與經核准的機構合作。
對於使用者而言,這意味著什麼?
CRA 能夠為使用者帶去諸多益處,因為相關產品符合更高的網路安全標準,能夠減少駭客攻擊、安全漏洞或其他危險帶來的風險。這些產品必須貼上 CE 標誌,以表明其符合最新要求。
此外,製造商還必須在產品的整個生命週期內對其進行維護,並提供自動安全更新。因此,使用者可以信賴經 CE 認證產品的網路安全性。
網路安全不再是一個選項,而是勢在必行
目前製造商所面臨的挑戰,是確保安全的開發流程,並在投放市場前採取全面的安全措施。同時,會影響資源和生產時間的額外成本也隨之而來。新的法案能夠提高網路安全等級,盡可能降低網路安全領域的風險,有望為最終使用者帶來巨大益處。然而,製造商也面临着许多挑战,需要付出额外的成本。盡管如此,製造商仍然有必要積極解決這些難題,因為一旦違規,主管部門就會要求改進或召回產品,並對製造商處以最高達 1500 萬歐元或全球年度銷售總額 2.5 % 的罰款。
但是在這種困境下,仍然存在著希望,如果__安全開發流程符合 IEC 62443-4-1 標準和 IEC 62443-4-2 標準的功能規定__,則達到了 CRA 規定的基本要求。因此,建議實施 IEC 62443 標準。
CRA 時間表
起跑訊號已經發出。現在需要採取措施、共同為之准備。《網路韌性法案》(CRA) 於 2024 年 12 月 10 日正式發布。到 2026 年 9 月 11 日,全部產品都必須具備合規的漏洞管理系統。自 2027 年 12 月 11 日起,需要全面實施 CRA,全部相關產品均必須符合要求才能獲得 CE 標誌。
現在需要積極採取行動,以滿足新的安全標準並確保競爭力。
我們的 360° 全方位保全方案
菲尼克斯電氣開發了全面的 360° 全方位保全方案,其中整合了多種安全產品作為核心要素。這些安全產品的開發符合 IEC 62443-4-1 標準,同時還符合 IEC 62443-4-2 標準對於安全功能的要求。PSIRT(產品安全事件回應團隊)則負責高效地處理安全漏洞。
基於這一策略,菲尼克斯電氣已經為滿足新的法律要求做好了充分準備。此外,我們還為客戶提供安全的應用解決方案和服務。我們獲得了 TÜV SÜD 集團的獨立認證,證明我們的網路安全流程符合 IEC 62443 標準。