歐盟重要法案正式生效，中國出海物聯(lián)網(wǎng)產(chǎn)品面臨新的監(jiān)管規(guī)則

作者：趙小飛物聯(lián)網(wǎng)智庫 原創(chuàng)

12月10日，醞釀4年之久的歐盟《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act，CRA）正式生效，這是歐盟理事會將GDPR等法規(guī)構(gòu)建的合規(guī)框架進一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn)，對于歐洲乃至全球網(wǎng)絡(luò)安全領(lǐng)域影響巨大。

從法案的覆蓋范圍來看，除了汽車、醫(yī)療設(shè)備、航空器材等個別已有專門法規(guī)適配的特定領(lǐng)域外，CRA適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠程數(shù)據(jù)處理解決方案。這也就意味著，幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的電子類產(chǎn)品，包括電視、冰箱、智能音響等均被納入CRA的監(jiān)管范疇。根據(jù)其使用范圍的描述，物聯(lián)網(wǎng)產(chǎn)品是其中最為典型的使用領(lǐng)域。

雖然該法案提出主要義務(wù)到2027年12月11日起適用，但物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)商需提前行動起來，做到符合CRA要求。對于國內(nèi)出口歐洲的物聯(lián)網(wǎng)企業(yè)來說，按照CRA的要求推進合規(guī)性工作是當(dāng)前一個必選項。

CRA法規(guī)實施時間表和需要重點關(guān)注的事實

對于國內(nèi)物聯(lián)網(wǎng)產(chǎn)品制造商來說，目前還有36個月的時間來開展合規(guī)性工作，需要做的工作包括:

強制性網(wǎng)絡(luò)風(fēng)險評估

技術(shù)安全要求的實施

安全相關(guān)事件的報告義務(wù)

超過5年或預(yù)期產(chǎn)品壽命的免費安全更新

如有違反CRA，將面臨較高的處罰。法案規(guī)定，對于未能遵守法案中提出的漏洞報告、網(wǎng)絡(luò)事件報告或基本網(wǎng)絡(luò)安全要求的公司，可能面臨高達1500萬歐元或其全球營業(yè)額2.5%的行政罰款，以較高者為準(zhǔn)；對于不遵守其他義務(wù)的情況，罰款上限為1000萬歐元，或是全球營業(yè)額2%；若企業(yè)向市場監(jiān)管機構(gòu)或相關(guān)機構(gòu)提供誤導(dǎo)性或不正確的信息，罰款可能高達500萬歐元，或是全球營業(yè)額的1%。此外，在某些情況下，歐盟成員國當(dāng)局可以要求廠商從歐盟市場召回或撤出不合規(guī)產(chǎn)品。

對于在歐盟市場上布局物聯(lián)網(wǎng)產(chǎn)品的所有制造商來說，他們非常重視這36個月的過渡期，推進產(chǎn)品遵守CRA規(guī)定。

一個需要業(yè)界高度關(guān)注的事實是，CRA的要求可能提升了一些大型制造商對供應(yīng)鏈管理的要求和難度。在CRA征求意見階段，遭到了西門子等公司的強烈反饋，其中主要的來自于要求制造商在將來自第三方的部件集成到帶有數(shù)字元素的產(chǎn)品中時，應(yīng)當(dāng)確保此類部件不會危及產(chǎn)品的安全性的條款。

在這一條款下，產(chǎn)品最終制造商承擔(dān)著較高責(zé)任，意味著產(chǎn)品制造商在使用某一組件、第三方組件乃至軟件插件時，都需要對其安全性進行檢驗和確認(rèn)。對于高度依賴產(chǎn)業(yè)鏈國際分工的家電、消費電子、工業(yè)物聯(lián)網(wǎng)等領(lǐng)域，這一標(biāo)準(zhǔn)的落地極大拓寬了其責(zé)任范圍。核心企業(yè)或品牌制造商要確保其供應(yīng)鏈中的供應(yīng)商所有產(chǎn)品符合CRA標(biāo)準(zhǔn)，不但要求自己對CRA法案具有深入理解，還需要構(gòu)建高效的第三方供應(yīng)商CRA管理的制度和流程，如若出現(xiàn)第三方原因造成CRA合規(guī)問題，制造商將承擔(dān)第一責(zé)任，因此這是一個具有較高挑戰(zhàn)性的工作。

物聯(lián)網(wǎng)產(chǎn)品的制造商需要做什么？

為了符合CRA對物聯(lián)網(wǎng)產(chǎn)品的要求，物聯(lián)網(wǎng)制造商需要開展一系列工作，根據(jù)制造商合規(guī)指南，以下列出制造商需要完成的一些強制性工作。

1、先決條件

根據(jù)CRA相關(guān)條款，企業(yè)在將產(chǎn)品投放到歐洲市場之前，必須：

根據(jù)預(yù)期用途、可預(yù)見條件和預(yù)期壽命分析潛在風(fēng)險；

安全地集成各類組件：物聯(lián)網(wǎng)制造商在從第三方采購組件時進行盡職調(diào)查，包括開源軟件，以確保它們不會危及產(chǎn)品的網(wǎng)絡(luò)安全；

具有解決內(nèi)部或外部來源報告的漏洞政策和程序，包括協(xié)調(diào)的披露政策；

準(zhǔn)備技術(shù)文件；

選擇并實施合格評定程序；

發(fā)布歐盟一致性聲明并粘貼CE標(biāo)志；

包括產(chǎn)品、包裝或隨附文件上的識別標(biāo)記（如類型、批次、序列號）；

在產(chǎn)品、包裝或隨附文件上注明制造商的名稱、聯(lián)系方式和網(wǎng)站；

提供至少5年的支持，如果產(chǎn)品不足5年，則提供生命周期的支持；

確保在支持期內(nèi)發(fā)布的安全更新在至少10年或剩余的支持期內(nèi)保持可用，以較長者為準(zhǔn)。

2、強制性文件

制造商必須滿足以下強制性文件要求:

（1）技術(shù)文檔：技術(shù)文檔包括相關(guān)的網(wǎng)絡(luò)安全方面內(nèi)容，如已識別的漏洞、第三方信息和風(fēng)險評估的更新。技術(shù)文檔必須保持10年或產(chǎn)品上市后的整個支持期（以較長者為準(zhǔn)）。

（2）歐盟符合性聲明：該文件證明產(chǎn)品符合基本要求。制造商可以提供完整版或帶有完整版在線鏈接的簡化版。兩個版本都必須在10年或產(chǎn)品支持期內(nèi)保持可用。

（3）用戶信息和說明：這一關(guān)于安全安裝、操作和使用的指南必須清晰易懂，并且使用用戶和權(quán)威機構(gòu)能夠容易掌握的語言。該文件必須在10年或支持期內(nèi)保持在線或物理可訪問。

3、報告機制

這些報告要求旨在加強網(wǎng)絡(luò)安全措施，并能夠協(xié)調(diào)應(yīng)對漏洞和事件，制造商必須:

（1）必須在24小時內(nèi)向其指定的歐盟成員國計算機安全事故響應(yīng)小組（CSIRT）報告任何被惡意行為者利用的產(chǎn)品漏洞。然后，制造商必須在72小時內(nèi)提交一份總體跟進報告，并在緩解措施出臺后14天內(nèi)提交一份詳細報告。除特殊情況外，這些漏洞報告將轉(zhuǎn)發(fā)給產(chǎn)品上市所在成員國的其他安全事故響應(yīng)小組和市場監(jiān)管機構(gòu)。同時，制造商還必須將事故通知其用戶。

（2）協(xié)同漏洞披露：制造商必須建立協(xié)調(diào)的漏洞披露政策，并為第三方提供聯(lián)系地址以報告產(chǎn)品中的漏洞。當(dāng)制造商發(fā)現(xiàn)產(chǎn)品軟件或硬件組件中的漏洞時，必須向負責(zé)該組件的一方報告漏洞。

產(chǎn)品符合性評估相關(guān)要求

在將產(chǎn)品投放市場之前，制造商必須對產(chǎn)品進行符合性評估，以確保符合安全要求。法案對產(chǎn)品安全做了分級，主要包括：

（1）未分類或默認(rèn)級別：這一大類包括大多數(shù)帶有數(shù)字元素的產(chǎn)品，制造商可以自我評估是否符合安全要求。

（2）第一類和第二類（Classes I and II）：該級別被認(rèn)為是“重要”的數(shù)字產(chǎn)品，這些產(chǎn)品必須經(jīng)過第三方合格評估，它們可以適用統(tǒng)一標(biāo)準(zhǔn)或統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證計劃。第一類和第二類產(chǎn)品具有網(wǎng)絡(luò)安全相關(guān)功能，如果被破壞，其功能會帶來重大負面影響風(fēng)險。

（3）“關(guān)鍵”的數(shù)字產(chǎn)品：該類別包括被認(rèn)為是基本服務(wù)關(guān)鍵依賴項的產(chǎn)品，如智能卡或具有安全元件的類似設(shè)備、智能計量系統(tǒng)以及用于高級安全目的的其他設(shè)備。

數(shù)字產(chǎn)品完成符合性評估后，制造商必須起草一份符合性聲明以補充技術(shù)文件，并將這些記錄保存十年或支持期內(nèi)（以較長者為準(zhǔn)）。此外，數(shù)字產(chǎn)品必須具有CE標(biāo)志，以表明產(chǎn)品在進入市場之前符合法案標(biāo)準(zhǔn)。這一要求可以視作強制性的安全標(biāo)簽計劃。

同時，法案還對進口商和分銷商提出相關(guān)要求，例如包括對制造商的產(chǎn)品進行盡職調(diào)查、發(fā)現(xiàn)漏洞后及時通知制造商、向歐洲當(dāng)局告知重大風(fēng)險、保留記錄以及售后責(zé)任等。

目前，國內(nèi)物聯(lián)網(wǎng)企業(yè)出海歐洲已形成較大規(guī)模。作為境外企業(yè)，如仍想要將物聯(lián)網(wǎng)產(chǎn)品銷往歐洲，就必須投入額外合規(guī)成本以符合CRA的相關(guān)合規(guī)要求，而未能完成CRA改造的企業(yè)則會被拒之門外。國內(nèi)物聯(lián)網(wǎng)企業(yè)可以參考歐盟相關(guān)企業(yè)實踐，必要時也引入專業(yè)的第三方咨詢機構(gòu)協(xié)助完善企業(yè)的網(wǎng)絡(luò)安全框架，以確保符合CRA規(guī)定。同時，政府有關(guān)部門、行業(yè)協(xié)會以及產(chǎn)業(yè)鏈中的龍頭企業(yè)也可發(fā)揮作用，總結(jié)共性問題，共同研究合規(guī)解決方案，協(xié)助企業(yè)尤其是中小制造商降低合規(guī)成本，順利實現(xiàn)產(chǎn)品出口歐洲。