歐盟重要法案正式生效，中國(guó)出海物聯(lián)網(wǎng)產(chǎn)品面臨新的監(jiān)管規(guī)則

作者：趙小飛物聯(lián)網(wǎng)智庫 原創(chuàng)

12月10日，醞釀4年之久的歐盟《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act，CRA）正式生效，這是歐盟理事會(huì)將GDPR等法規(guī)構(gòu)建的合規(guī)框架進(jìn)一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn)，對(duì)于歐洲乃至全球網(wǎng)絡(luò)安全領(lǐng)域影響巨大。

從法案的覆蓋范圍來看，除了汽車、醫(yī)療設(shè)備、航空器材等個(gè)別已有專門法規(guī)適配的特定領(lǐng)域外，CRA適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著，幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的電子類產(chǎn)品，包括電視、冰箱、智能音響等均被納入CRA的監(jiān)管范疇。根據(jù)其使用范圍的描述，物聯(lián)網(wǎng)產(chǎn)品是其中最為典型的使用領(lǐng)域。

雖然該法案提出主要義務(wù)到2027年12月11日起適用，但物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)商需提前行動(dòng)起來，做到符合CRA要求。對(duì)于國(guó)內(nèi)出口歐洲的物聯(lián)網(wǎng)企業(yè)來說，按照CRA的要求推進(jìn)合規(guī)性工作是當(dāng)前一個(gè)必選項(xiàng)。

CRA法規(guī)實(shí)施時(shí)間表和需要重點(diǎn)關(guān)注的事實(shí)

對(duì)于國(guó)內(nèi)物聯(lián)網(wǎng)產(chǎn)品制造商來說，目前還有36個(gè)月的時(shí)間來開展合規(guī)性工作，需要做的工作包括:

強(qiáng)制性網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估

技術(shù)安全要求的實(shí)施

安全相關(guān)事件的報(bào)告義務(wù)

超過5年或預(yù)期產(chǎn)品壽命的免費(fèi)安全更新

如有違反CRA，將面臨較高的處罰。法案規(guī)定，對(duì)于未能遵守法案中提出的漏洞報(bào)告、網(wǎng)絡(luò)事件報(bào)告或基本網(wǎng)絡(luò)安全要求的公司，可能面臨高達(dá)1500萬歐元或其全球營(yíng)業(yè)額2.5%的行政罰款，以較高者為準(zhǔn)；對(duì)于不遵守其他義務(wù)的情況，罰款上限為1000萬歐元，或是全球營(yíng)業(yè)額2%；若企業(yè)向市場(chǎng)監(jiān)管機(jī)構(gòu)或相關(guān)機(jī)構(gòu)提供誤導(dǎo)性或不正確的信息，罰款可能高達(dá)500萬歐元，或是全球營(yíng)業(yè)額的1%。此外，在某些情況下，歐盟成員國(guó)當(dāng)局可以要求廠商從歐盟市場(chǎng)召回或撤出不合規(guī)產(chǎn)品。

對(duì)于在歐盟市場(chǎng)上布局物聯(lián)網(wǎng)產(chǎn)品的所有制造商來說，他們非常重視這36個(gè)月的過渡期，推進(jìn)產(chǎn)品遵守CRA規(guī)定。

一個(gè)需要業(yè)界高度關(guān)注的事實(shí)是，CRA的要求可能提升了一些大型制造商對(duì)供應(yīng)鏈管理的要求和難度。在CRA征求意見階段，遭到了西門子等公司的強(qiáng)烈反饋，其中主要的來自于要求制造商在將來自第三方的部件集成到帶有數(shù)字元素的產(chǎn)品中時(shí)，應(yīng)當(dāng)確保此類部件不會(huì)危及產(chǎn)品的安全性的條款。

在這一條款下，產(chǎn)品最終制造商承擔(dān)著較高責(zé)任，意味著產(chǎn)品制造商在使用某一組件、第三方組件乃至軟件插件時(shí)，都需要對(duì)其安全性進(jìn)行檢驗(yàn)和確認(rèn)。對(duì)于高度依賴產(chǎn)業(yè)鏈國(guó)際分工的家電、消費(fèi)電子、工業(yè)物聯(lián)網(wǎng)等領(lǐng)域，這一標(biāo)準(zhǔn)的落地極大拓寬了其責(zé)任范圍。核心企業(yè)或品牌制造商要確保其供應(yīng)鏈中的供應(yīng)商所有產(chǎn)品符合CRA標(biāo)準(zhǔn)，不但要求自己對(duì)CRA法案具有深入理解，還需要構(gòu)建高效的第三方供應(yīng)商CRA管理的制度和流程，如若出現(xiàn)第三方原因造成CRA合規(guī)問題，制造商將承擔(dān)第一責(zé)任，因此這是一個(gè)具有較高挑戰(zhàn)性的工作。

物聯(lián)網(wǎng)產(chǎn)品的制造商需要做什么？

為了符合CRA對(duì)物聯(lián)網(wǎng)產(chǎn)品的要求，物聯(lián)網(wǎng)制造商需要開展一系列工作，根據(jù)制造商合規(guī)指南，以下列出制造商需要完成的一些強(qiáng)制性工作。

1、先決條件

根據(jù)CRA相關(guān)條款，企業(yè)在將產(chǎn)品投放到歐洲市場(chǎng)之前，必須：

根據(jù)預(yù)期用途、可預(yù)見條件和預(yù)期壽命分析潛在風(fēng)險(xiǎn)；

安全地集成各類組件：物聯(lián)網(wǎng)制造商在從第三方采購(gòu)組件時(shí)進(jìn)行盡職調(diào)查，包括開源軟件，以確保它們不會(huì)危及產(chǎn)品的網(wǎng)絡(luò)安全；

具有解決內(nèi)部或外部來源報(bào)告的漏洞政策和程序，包括協(xié)調(diào)的披露政策；

準(zhǔn)備技術(shù)文件；

選擇并實(shí)施合格評(píng)定程序；

發(fā)布?xì)W盟一致性聲明并粘貼CE標(biāo)志；

包括產(chǎn)品、包裝或隨附文件上的識(shí)別標(biāo)記（如類型、批次、序列號(hào)）；

在產(chǎn)品、包裝或隨附文件上注明制造商的名稱、聯(lián)系方式和網(wǎng)站；

提供至少5年的支持，如果產(chǎn)品不足5年，則提供生命周期的支持；

確保在支持期內(nèi)發(fā)布的安全更新在至少10年或剩余的支持期內(nèi)保持可用，以較長(zhǎng)者為準(zhǔn)。

2、強(qiáng)制性文件

制造商必須滿足以下強(qiáng)制性文件要求:

（1）技術(shù)文檔：技術(shù)文檔包括相關(guān)的網(wǎng)絡(luò)安全方面內(nèi)容，如已識(shí)別的漏洞、第三方信息和風(fēng)險(xiǎn)評(píng)估的更新。技術(shù)文檔必須保持10年或產(chǎn)品上市后的整個(gè)支持期（以較長(zhǎng)者為準(zhǔn)）。

（2）歐盟符合性聲明：該文件證明產(chǎn)品符合基本要求。制造商可以提供完整版或帶有完整版在線鏈接的簡(jiǎn)化版。兩個(gè)版本都必須在10年或產(chǎn)品支持期內(nèi)保持可用。

（3）用戶信息和說明：這一關(guān)于安全安裝、操作和使用的指南必須清晰易懂，并且使用用戶和權(quán)威機(jī)構(gòu)能夠容易掌握的語言。該文件必須在10年或支持期內(nèi)保持在線或物理可訪問。

3、報(bào)告機(jī)制

這些報(bào)告要求旨在加強(qiáng)網(wǎng)絡(luò)安全措施，并能夠協(xié)調(diào)應(yīng)對(duì)漏洞和事件，制造商必須:

（1）必須在24小時(shí)內(nèi)向其指定的歐盟成員國(guó)計(jì)算機(jī)安全事故響應(yīng)小組（CSIRT）報(bào)告任何被惡意行為者利用的產(chǎn)品漏洞。然后，制造商必須在72小時(shí)內(nèi)提交一份總體跟進(jìn)報(bào)告，并在緩解措施出臺(tái)后14天內(nèi)提交一份詳細(xì)報(bào)告。除特殊情況外，這些漏洞報(bào)告將轉(zhuǎn)發(fā)給產(chǎn)品上市所在成員國(guó)的其他安全事故響應(yīng)小組和市場(chǎng)監(jiān)管機(jī)構(gòu)。同時(shí)，制造商還必須將事故通知其用戶。

（2）協(xié)同漏洞披露：制造商必須建立協(xié)調(diào)的漏洞披露政策，并為第三方提供聯(lián)系地址以報(bào)告產(chǎn)品中的漏洞。當(dāng)制造商發(fā)現(xiàn)產(chǎn)品軟件或硬件組件中的漏洞時(shí)，必須向負(fù)責(zé)該組件的一方報(bào)告漏洞。

產(chǎn)品符合性評(píng)估相關(guān)要求

在將產(chǎn)品投放市場(chǎng)之前，制造商必須對(duì)產(chǎn)品進(jìn)行符合性評(píng)估，以確保符合安全要求。法案對(duì)產(chǎn)品安全做了分級(jí)，主要包括：

（1）未分類或默認(rèn)級(jí)別：這一大類包括大多數(shù)帶有數(shù)字元素的產(chǎn)品，制造商可以自我評(píng)估是否符合安全要求。

（2）第一類和第二類（Classes I and II）：該級(jí)別被認(rèn)為是“重要”的數(shù)字產(chǎn)品，這些產(chǎn)品必須經(jīng)過第三方合格評(píng)估，它們可以適用統(tǒng)一標(biāo)準(zhǔn)或統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證計(jì)劃。第一類和第二類產(chǎn)品具有網(wǎng)絡(luò)安全相關(guān)功能，如果被破壞，其功能會(huì)帶來重大負(fù)面影響風(fēng)險(xiǎn)。

（3）“關(guān)鍵”的數(shù)字產(chǎn)品：該類別包括被認(rèn)為是基本服務(wù)關(guān)鍵依賴項(xiàng)的產(chǎn)品，如智能卡或具有安全元件的類似設(shè)備、智能計(jì)量系統(tǒng)以及用于高級(jí)安全目的的其他設(shè)備。

數(shù)字產(chǎn)品完成符合性評(píng)估后，制造商必須起草一份符合性聲明以補(bǔ)充技術(shù)文件，并將這些記錄保存十年或支持期內(nèi)（以較長(zhǎng)者為準(zhǔn)）。此外，數(shù)字產(chǎn)品必須具有CE標(biāo)志，以表明產(chǎn)品在進(jìn)入市場(chǎng)之前符合法案標(biāo)準(zhǔn)。這一要求可以視作強(qiáng)制性的安全標(biāo)簽計(jì)劃。

同時(shí)，法案還對(duì)進(jìn)口商和分銷商提出相關(guān)要求，例如包括對(duì)制造商的產(chǎn)品進(jìn)行盡職調(diào)查、發(fā)現(xiàn)漏洞后及時(shí)通知制造商、向歐洲當(dāng)局告知重大風(fēng)險(xiǎn)、保留記錄以及售后責(zé)任等。

目前，國(guó)內(nèi)物聯(lián)網(wǎng)企業(yè)出海歐洲已形成較大規(guī)模。作為境外企業(yè)，如仍想要將物聯(lián)網(wǎng)產(chǎn)品銷往歐洲，就必須投入額外合規(guī)成本以符合CRA的相關(guān)合規(guī)要求，而未能完成CRA改造的企業(yè)則會(huì)被拒之門外。國(guó)內(nèi)物聯(lián)網(wǎng)企業(yè)可以參考?xì)W盟相關(guān)企業(yè)實(shí)踐，必要時(shí)也引入專業(yè)的第三方咨詢機(jī)構(gòu)協(xié)助完善企業(yè)的網(wǎng)絡(luò)安全框架，以確保符合CRA規(guī)定。同時(shí)，政府有關(guān)部門、行業(yè)協(xié)會(huì)以及產(chǎn)業(yè)鏈中的龍頭企業(yè)也可發(fā)揮作用，總結(jié)共性問題，共同研究合規(guī)解決方案，協(xié)助企業(yè)尤其是中小制造商降低合規(guī)成本，順利實(shí)現(xiàn)產(chǎn)品出口歐洲。