您需要了解的欧盟网络弹性法案

于 2024-07-15 02:00:00 发布
阅读量260 收藏 4
点赞数 10
分类专栏: 网络研究观 文章标签: 网络 安全 法案 漏洞 报告 合规 处罚
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/140423959
版权

了解CRA包含的内容以及如何遵守。

什么是CRA?

《网络弹性法案》(CRA)是即将出台的欧盟法规,旨在确保在欧盟销售的所有数字产品和服务(如连接到互联网的软件和硬件)都采用强大的网络安全措施。

该法案要求制造商在整个产品生命周期内确保其安全。

CRA适用于哪些人?

CRA适用于所有“带有数字元素的产品”(PDE),包括任何软件或硬件产品及其远程数据处理解决方案。

“远程数据处理”是指任何作为产品核心功能的数据处理(没有它,PDE就无法实现其功能),并由PDE制造商开发。

PDE可以源自:

软件开发商:创建软件应用程序和系统的公司或个人。
硬件制造商:生产带有数字组件的物理设备(例如物联网设备、智能手机和计算机)的制造商。
服务提供商:云解决方案只有符合法规定义时才构成远程数据处理解决方案。例如,使用云托管平台进行远程控制的智能家居设备属于法规范围。

根据现有法规,某些行业(例如专业医疗设备、机动车辆、民航系统和船舶设备)不属于CRA范围。

CRA何时实施?

欧洲议会(EP)于2024年3月12日通过了CRA最终文本的“临时”版本。

然而,这仍然不是该文件的最终版本。CRA的正式签署和发布预计将在2024年10月左右进行。

一旦最终文本正式通过,大部分内容将在三年后(约2027年10月)生效。

但是,事故报告要求将在颁布两年后(2026年10月)对制造商适用。

在CRA实施日期之前,欧盟将制定协调标准,以便制造商更好地进行合格评定。欧盟委员会还将发布指南,协助公司应用CRA。

CRA的要求是什么?

根据附件1,CRA安全要求分为两部分:

第1部分–与具有数字元素(PDE)的产品属性相关的安全要求

1. PDE的设计、开发和生产应根据其面临的风险,确保适当的网络安全水平。

2. 在适用的情况下,含有数字元素的产品应:

采用安全的默认配置进行销售
防止未经授权的访问
保护其处理的数据的机密性和完整性,将数据限制在必要的最低限度
和更多

第2部分-漏洞处理要求

1. 识别并记录PDE组件及其漏洞。立即解决漏洞。
2. 定期测试和审查PDE的安全性。
3. 制定全面的漏洞处理计划,其中包含:

自动安全更新,及时修复漏洞
提供相关信息的咨询信息
漏洞报告平台
漏洞披露政策

制造商的义务是什么?

该文件第10条描述了制造商在上述要求方面的义务。

要将PDE投放市场,制造商需要制定PDE风险评估,并定期记录和更新。

评估需要包括以下内容:

根据PDE的目的、用途和环境对网络风险进行分析。
第1部分第3点的要求适用于PDE。
制造商将如何应用第1部分第1点,以及他们将如何处理第2部分的漏洞要求。

当将PDE投放到市场时,制造商应将此信息包含在产品的技术文档中。

除了风险评估之外:

制造商必须验证第三方组件(包括开源组件)的完整性,以免危及PDE的安全性。
制造商应该在PDE投放市场之前和之后的整个支持期内处理其漏洞。

报告安全事件

该文件的第11条规定了PDE中的事件报告指南。

制造商必须在指定时间范围内(初始警报为24小时,详细报告为72小时,最终报告为14天)通过单一报告平台向指定的CSIRT(计算机安全事件响应小组)协调员和ENISA(欧洲网络安全局)通报其产品中任何被主动利用的漏洞。

同样,严重安全事件也必须在24小时内报告初步警报,72小时内报告详细信息,并在一个月内报告全面的最终报告,并通过同一平台向CSIRT和ENISA提交通知。

产品分类

默认类别:包括所有不属于高风险类别的含有数字元素的产品。此类别的产品通常需要制造商进行自我评估。

重要产品(第一类和第二类):

I类:这些产品很重要,但不是关键产品。与默认类别相比,它们可能需要更严格的自我评估和记录。

II类:这些产品比I类产品更为关键,通常需要第三方评估以确保符合要求。

关键产品:这些产品在网络安全漏洞和潜在影响方面的风险最高。它们必须遵守最严格的合格评定程序,包括强制性的第三方评估和可能更频繁的重新评估

合格评定

CRA下的合格评定流程旨在验证产品是否符合指定的网络安全要求。评估的复杂性取决于产品的分类。以下是所涉及的步骤:

1. 自我评估:对于不太重要的产品,制造商可以进行自我评估,以证明其符合CRA的要求。这涉及创建一份技术文档文件,概述产品如何满足必要的网络安全标准。

2. 第三方评估:对于更关键的产品,必须由独立的第三方合格评定机构(公告机构)进行评估。这确保对产品的安全特性进行公正的评估,并符合CRA的要求

3. 持续合规:制造商还必须通过定期更新产品来应对新的漏洞和威胁,从而确保持续合规。这可能包括由制造商或第三方进行的定期重新评估,具体取决于产品类别。

不合规处罚

不遵守CRA规定可能会招致巨额罚款。

制造商和其他利益相关者可能面临高达1500万欧元或全球年营业额2.5%的罚款(以较高者为准)。

向监管机构提供不准确或误导性信息也会受到特定处罚。

网络研究观
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
欧盟网络弹性法案》看供应链安全管理
qq_41432686的博客
02-04 1286
当前,全球化、数字化、智能化深入推进,以SolarWinds攻击为代表的供应链安全事件频发,使得供应链安全问题日益突出,对组织的网络和数据安全构成潜在威胁,同时也成为国际社会数字化发展进程中的关注焦点。如何通过立法合理设置供应链安全基线,以及如何在合规视角下加强安全实践,实现产业供应链的安全、韧性、稳定,是值得思考与探索的问题。
欧盟网络弹性法案》看供应链安全管理 .pdf
02-08
2023年11月,欧盟范围内首部针对具有数字元素的有形和无形产品(以下简称数字产品,包括连接设备和非嵌入式软件)的专项立法取得进展,欧盟理事会与欧洲议会就《网络弹性法案》(CRA)达成临时协议,旨在为数字产品...
网络弹性法案》协议达成,欧盟立法进一步临近实施
murphysec的博客
12-08 607
一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称,关于漏洞披露的规定适得其反,将制造新的威胁,破坏数字产品及其使用者的安全。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。
西门子爱立信施耐德电气等:欧盟网络安全弹性法案(CRA)》或破坏供应链
smellycat000的专栏
11-08 376
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
欧盟网络弹性法案》尘埃落定:制造商需为开源代码的安全性负责
smellycat000的专栏
12-06 469
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士欧洲委员会在2022年9月份醍醐《网络弹性法案》,旨在设置一系列规则,重视所有直接或间接联网产品的安全性。产品同时包括硬件和软件产品。欧洲委员会和欧洲议会已在11月30日就文本达成一致,因此CRA将进入最后的批准阶段。按照CRA 的规定,更多健壮的网络安全弹性法规将要求组织机构按照最低标准保护数字化产品的安全。该法规将强制要求软件和硬件制造商遵...
欧洲议会表决通过《欧盟网络安全法案》.pdf
09-20
欧洲议会表决通过《欧盟网络安全法案》.pdf
欧盟网络安全法案达成协议.pdf
09-20
欧盟网络安全法案达成协议.pdf
欧盟出台《数字市场法案
06-18
欧盟委员会、欧洲理事会和欧洲议会对于 DMA 的立场表明,他们认识到需要对数字领域的监管进行改革,以应对不断变化的市场格局。尽管在立法过程中可能存在一些分歧,但各方对提案的支持以及提出的修正案反映出对平衡...
欧盟发布关于网络安全、通信网络弹性的综合风险评估报告:具有战略意义的十大网络安全风险场景
02-27
欧盟委员会和欧盟网络安全局 ENISA 的支持下,欧盟成员国近日发布了一份报告,详细介绍了欧洲通信基础设施和网络网络安全弹性。 该报告概述了对欧盟具有战略意义的十种风险情景。 1、 擦除器/勒索软件攻击 ...
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 654
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 274
原生WebSocket: new WebSocket。
从零开始做题:logtime
weixin_44626085的博客
07-10 247
给出1个pcapng文件。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 446
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
访问控制的定义与原理
SafePloy_SH的博客
07-11 316
访问控制(Access Control)是一种重要的安全机制,用于限制对程序中的数据、函数、类以及计算机系统中资源(如文件、数据库、网络设备等)的访问权限。其主要目的是保护系统中的敏感信息和资源,防止未经授权的访问和操作,确保系统的安全性、完整性和可靠性。综上所述,访问控制是保障系统安全的重要手段之一,它通过限制用户对资源的访问权限来防止未经授权的访问和操作。允许用户对自身所创建的访问对象(如文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户或收回其访问权限。
【观成科技】Websocket协议代理隧道加密流量分析与检测
GCKJ_0824的博客
07-10 977
Websocket中的掩码加密使用异或(xor)做简单的加密,当MASK字段对应位被设置为 1 时表示加密,那么后续会设置4字节的Masking-key,Mask位设置为 0 时表示不加密,则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点,并与对应的工具流量相结合,从而提出行之有效的检测方法应用于产品当中,能在Websocket流量中准确发现异常,找出相关隧道的搭建和使用痕迹,保障客户网络安全。Websocket协议代理工具加密流量检测。
UDP协议介绍和作用
小蜜蜂vs码农
07-10 1055
UDP协议介绍和作用
防火墙实验
wxhxmj的博客
07-10 429
5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,其次登陆需要修改密码,用户过期时间设定10天,用户不允许多人使用。5、生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab123,其次登陆需要修改密码,用户过期时间设定10天,用户不允许多人使用。2、生产区不允许访问互联网,办公区和游客区允许访问互联网。
ENSP防火墙综合配置
Enjoy_zhuo的博客
07-11 177
因为ISP返回的数据包会被防火墙最后的默认安全策略给拒绝,所以,把要ISP返回的数据给允许通过。
赛迪前瞻2023年第40期(总828期): 我国亟需加快构建网络安全弹性体系(网安所)终发 - 水印版-13页.pdf
09-07
赛迪前瞻2023年第40期(总828期): 我国亟需加快构建网络安全弹性体系(网安所)终发 - 水印版-13页

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值