欧洲议会对CRA的研究摘要

最新推荐文章于 2025-12-03 13:28:35 发布

原创最新推荐文章于 2025-12-03 13:28:35 发布 · 684 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #安全 #安全架构 #大数据 #自动化

概述

新技术带来了新的风险，近年来通过数字产品进行的网络攻击的影响显著增加。消费者越来越多地成为与数字产品相关的安全漏洞的受害者，这些产品包括婴儿监视器、机器人吸尘器、Wi-Fi 路由器和报警系统。对于企业而言，确保供应链中的数字产品安全已变得至关重要，因为五分之三的供应商已经因产品安全漏洞而蒙受损失。

欧盟的立法者于2024年10月签署了“网络弹性法案”。该法规对所有具有数字元素的产品施加了网络安全义务，这些产品的预期和可预见用途包括与设备或网络的直接或间接数据连接。该法规引入了“设计即安全”和“默认即安全”的原则，并对产品生命周期内的责任提出了要求。

《网络弹性法案》于2024年11月20日发布在欧盟的官方公报上。它于2024年12月生效，并将于2027年12月11日全面适用。

根据行业预测，全球物联网（IoT）连接设备的总数预计将从2022年的132亿增加到2028年的347亿。另一份报告估计，到2024年底，连接到互联网协议（IP）网络的设备数量将增长13%。连接产品中的网络安全漏洞带来了成本。在其2020年报告《网络安全——我们的数字锚》中，欧盟委员会强调了勒索软件攻击如何每11秒就会在全球范围内袭击组织。预计到2031年，每2秒就会有一次新的攻击发生在消费者或企业身上，每年给受害者造成约2650亿美元（2510亿欧元）的损失。欧洲网络与信息安全局（ENISA）2024年关于欧盟威胁态势的报告中，将分布式拒绝服务（DDoS）攻击和勒索软件攻击列为首要的网络安全威胁——占所有观察到的事件的一半以上——其中DDoS攻击变得越来越大、复杂且成本低廉，并越来越多地针对移动网络和物联网。此外，ENISA的前瞻性报告将“软件依赖的供应链妥协”确定为到2030年可能出现的首要网络安全威胁。

鉴于智能网联产品的增长，一个产品中的网络安全事件可能会影响整个供应链，可能会扰乱整个内部市场的社会和经济活动。一个例子是2021年7月的Kaseya VSA供应链攻击。这次勒索软件攻击了超过1000家公司，并迫使一家超市连锁店关闭了其在瑞典的全部500家商店。思科报告称，欧洲只有9%的公司具备足够成熟的准备水平，以应对现代网络弹性的韧性。

此外，欧洲消费者对联网设备（如智能家居设备）的使用日益增加，以及相关风险不容小觑。根据一项名为《数字十年2024》的特别欧盟晴雨表调查，近80%的欧盟公民认为，改善网络安全、加强在线数据保护和提高数字技术的安全性将有助于他们更好地使用数字产品与技术。实际上，即使是玩具也可能带来网络安全风险。2017年2月，德国监管机构禁止了一款名为Cayla的联网玩偶，认为其在隐私方面不安全，并可能成为隐蔽的监控设备。通过破解蓝牙设备连接，任何在附近的人都有可能监听并记录孩子与玩具之间的对话。

现状

在2021年的年度盟情咨文中，欧盟委员会主席乌尔苏拉·冯德莱恩宣布了网络弹性法案（CRA）的提案。近年来，网络安全威胁的严重性、复杂性和规模显著增加，这一趋势也与国际层面的紧张局势升级有关。为了解决这一问题，欧盟理事会已邀请委员会修订欧盟的网络安全战略。网络安全议题的重要性也在负责技术主权、安全与民主的执行副主席的职责中得到了强调。

现有的网络安全战略已经认识到，提高网络安全对于人们信任、使用和受益于创新、连接和自动化，以及保护基本权利和自由（包括个人数据保护权和言论自由）至关重要。现有的欧盟网络安全框架包括若干立法，这些立法从不同角度涵盖了网络安全的具体方面。

关于信息系统攻击的指令侧重于刑法，于2013年生效，统一了针对信息系统的若干犯罪行为的定罪和处罚。与之相关的立法是欧盟网络和信息系统安全指令（NIS指令），于2016年生效，推出了横向法律措施以提高欧盟整体网络安全水平，重点保护关键基础设施。2022年12月，该指令被网络和信息系统安全指令（NIS2指令）取代，消除了其前身的局限性，并将在2024年10月17日前转化为国家法律。此外，行业立法如关键实体弹性指令（CER）和金融部门运营弹性条例（DORA）在各自领域设定了具体的安全和报告要求。

关于信息和通信技术（ICT）产品、服务和流程，2019年的欧盟网络安全法加强了ENISA的权力，并引入了一项自愿认证计划，适用于ICT产品、服务或流程的网络安全特性。虽然该计划对企业来说仍是自愿的，但可以用于符合其他法律行为的强制性安全要求。

此外，欧盟还针对具有数字元素的产品通过了具体的行业安全立法：无线电设备指令（RED）、医疗器械法规、体外诊断医疗器械法规、车辆通用安全法规、民用航空通用规则法规以及机械法规。最后，已通过的人工智能法案要求对高风险人工智能（AI）系统进行事前合规评估。目前，欧盟层面没有针对非特定于某些产品或行业的硬件和软件的通用网络安全要求。内部市场专员Thierry Breton证实了这一点，他表示“目前大多数硬件和软件产品没有任何关于其网络安全的立法”。ENISA咨询小组在2019年发表的意见也证实了这一说法，报告指出“消费者使用的联网设备通常不包含最基本的安全功能，因此容易受到最基本的网络攻击和滥用”。

此外，欧盟法律框架没有涉及由应用程序（如导航软件或车载娱乐系统）代表的非嵌入式软件的网络安全问题。此外，经济运营者如何在产品生命周期内处理具有数字元素的产品的漏洞也是一个需要进一步关注的问题。

成员国已经针对消费者物联网（IoT）采取或提出了网络安全要求。然而，缺乏针对具有数字元素产品的网络安全法律框架，可能会促使成员国之间发展出潜在的不同国家规则，威胁到单一市场的开放性和竞争力。

议会的起始立场

在2021年6月10日关于欧盟数字十年网络安全战略的决议中，议会呼吁对整个供应链中的所有联网产品实施安全设计和网络弹性。议会对“委员会计划提出关于联网产品及相关服务的网络安全要求的横向立法”表示欢迎，旨在统一国家法律，从而防止单一市场的碎片化。此外，议会要求委员会在2023年前制定关于应用程序、软件（包括嵌入式软件）和操作系统的网络安全要求的横向法规。该法规应要求制造商向用户提供有关安全更新持续时间的信息。

理事会的起始立场

在2022年5月23日的结论中，理事会呼吁委员会通过网络弹性法案（CRA）在2022年底前提出针对联网设备及相关流程和服务的共同欧盟网络安全要求。理事会指出，该提案应考虑“需要一种涵盖数字产品整个生命周期的横向和整体方法，以及现有的法规，特别是在网络安全领域的法规”。

提案的准备

欧盟委员会委托进行了一项研究，以支持与提案一同发布的影响评估（IA）的准备工作。此外，为了收集利益相关者的意见，委员会进行了公开公众咨询，该咨询于2022年5月结束，并组织了研讨会、调查和专家访谈。特别努力还集中在收集中小企业对可能政策选项影响的看法。欧洲议会研究服务处（EPRS）在2022年12月发布了对委员会所提议的网络韧性法案影响评估的初步评估。

提案将带来的变化

作为首个此类全欧盟范围的立法，提议的欧盟网络弹性法案旨在加强欧盟内具有数字元素（数字产品）的产品的网络安全，并解决现有的监管网络安全漏洞。不符合CRA要求的数字元素设备将被禁止进入欧盟市场。由于CRA草案也针对在欧盟市场销售的非欧盟供应商的数字产品，因此可能对这些产品的网络安全标准产生超出欧盟边界的影响。欧盟将成为联网设备网络安全的国际参考点，就像《通用数据保护条例》在隐私方面的作用一样。实际上，非欧盟公司可能会发现，与为不同市场创建不同的产品或流程相比，应用提议的强制性CRA规则更为便利，从而将其作为全球运营的默认框架，以确保其数字产品进入欧盟单一市场。

原则和目标

提议的网络弹性法案（CRA）是一项基于《欧盟运作条约》第114条的横向立法（适用普通立法程序），涉及立法协调以及内部市场的建立和运作。其目的是统一具有数字元素产品的市场准入网络安全规则。基于CRA的欧盟标准将提高数字产品的网络安全水平，使企业和消费者都能受益。

提议的CRA对数字产品（即硬件和软件）有两个主要目标，其目的是通过确保硬件和软件产品以更少的漏洞进入市场，为安全数字产品的发展创造条件。它还旨在迫使制造商在产品生命周期内认真对待安全问题，并鼓励用户在选择和使用产品时考虑网络安全因素。

范围

在第3条第1款中，提议的网络弹性法案（CRA）将具有数字元素的产品定义为“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。在第2条第1款中，进一步明确了提议的法规适用于“其预期或合理可预见用途包括与设备或网络进行直接或间接逻辑或物理数据连接的数字元素产品”。因此，提议的CRA是一项横向法规，除少数例外，涵盖了非常广泛的数字产品，如联网设备（例如消费者和工业物联网）、操作系统和非嵌入式软件。该提案还涵盖了人工智能系统，包括被分类为高风险人工智能系统的具有数字元素产品的网络安全。

不包括在提案覆盖范围内的是由特定行业法规涵盖的数字设备和软件即服务（SaaS），如云服务，除非它们是具有数字元素产品的整体远程数据处理解决方案的一部分。最后但同样重要的是，为了不阻碍创新或研究，免费非营利开源软件不在提案的覆盖范围内。

提议的CRA根据风险水平将其涵盖的数字产品分为两大类。第一类是默认非关键产品，即低关键性硬件和软件（例如硬盘、智能家居助手或联网玩具）。第二类是关键产品（在附录III中列出），进一步分为两个子类别：I类低风险（例如虚拟专用网络和路由器）和II类高风险（例如桌面和手机操作系统或智能电表），反映了关键性和预期用途。

根据其风险水平，上述数字产品将接受不同程度的合规性评估程序，以证明其符合提议法规中设定的网络安全义务。这些程序从简单的网络安全自我评估到第三方合规性评估不等。风险较低的产品可能只需进行自我评估，而风险较高的产品则可能需要通过第三方的严格评估来确保其符合相关的网络安全标准。

对于非关键产品（占市场上数字产品的90%），制造商需要自行负责声明这些具有数字元素的设备符合草案CRA中定义的所有安全要求（自我评估）。这意味着制造商需要确保其产品在设计和生产过程中满足相关的网络安全标准，并在产品投放市场时提供符合性声明。

对于关键产品，合规性证明的过程根据所考虑的子类别而有所不同。对于关键I类产品（较低风险），制造商可以在自身责任下进行自我评估，只要他们对产品应用了现有的：i) 协调的网络安全标准（例如由欧洲标准化组织制定的标准）；或 ii) 根据欧盟网络安全法案的网络安全认证计划。如果该产品没有相关标准和计划，或者制造商没有应用或仅部分应用这些标准或计划，则制造商必须进行由第三方（合规性评估机构，CAB）执行的合规性评估。

对于关键II类产品，制造商必须接受由CAB进行的第三方合规性评估。这意味着这些产品由于其更高的风险水平，需要通过更严格的外部评估来确保其符合网络安全要求。

Figure 1 − Cyber-resilience conformity assessment

提议的网络韧性法案（CRA）对网络安全提出了若干义务。制造商在将产品投放市场之前，必须确保其具有数字元素的设备符合所有安全要求和合规性评估程序。此外，他们还需要记录技术文档，并遵守网络安全漏洞的通知义务。进口商则必须确保其进口的产品符合网络安全要求，并在将产品投放市场前确认其已通过合规性评估程序。进口商还需确保产品附有合规性声明。分销商则需要确保产品带有合规性标志，并有责任确保制造商和进口商已履行其在该法案下的义务。

通过这些措施，CRA旨在确保整个供应链中的各方都对产品的网络安全负责，从而提高市场上数字产品的整体安全性。

主要条款

设计和默认的网络安全

根据提议的网络韧性法案（CRA），制造商在设计和生产具有数字元素的产品时，必须从设计和开发阶段就考虑网络安全。这意味着他们需要使用默认安全配置，并避免已知的安全漏洞。主要条款包括：

i) 制造商应向用户提供的信息：这可能包括产品的安全功能、使用说明以及安全更新的相关信息。

ii) 数字产品的合规性评估程序：这涉及确保产品在投放市场之前符合所有相关的网络安全要求。

提议的CRA附录中包括：

i) 制造商应向用户提供的信息；

ii) 数字产品的合规性评估程序。

这些措施的目的是确保数字产品在整个生命周期中都保持安全，并且在设计和开发阶段就考虑到安全性，从而减少已知的可被利用的漏洞。

基本网络安全和漏洞处理要求，包括报告义务

提议的网络韧性法案（CRA）将制造商的网络安全义务分为两类：i) 与数字产品属性相关的安全要求；ii) 漏洞处理要求。

附录I中列出的重要网络安全要求包括：

i) 设计、开发和生产数字产品时，应限制其攻击面，并根据风险减少任何事件的影响；

ii) 提供的数字产品不应存在已知的可被利用的漏洞；

iii) 保护存储、传输或处理的数据的机密性和完整性；

iv) 仅处理对数字产品功能严格必要的数据，无论是个人数据还是其他数据，即“数据最小化”。

这些要求旨在确保数字产品在设计和使用过程中具备高水平的安全性，并在出现漏洞时能够有效处理和报告，从而保护用户的数据和隐私。

关于漏洞处理，在产品投放市场后，制造商需要进行定期的安全测试和审查，记录发现的漏洞，并采取措施进行修复。此外，制造商必须在发现被积极利用的漏洞和安全事件后24小时内向欧洲网络与信息安全局（ENISA）报告。

这些措施旨在确保制造商在产品上市后继续关注其安全性，及时识别和修复漏洞，以保护用户免受潜在的安全威胁。通过要求快速报告被利用的漏洞和安全事件，提议的网络弹性法案（CRA）希望能够更快地应对和减轻潜在的安全风险。

一致性评估与合规

用于证明符合上述要求的合规性评估程序类型取决于数字产品的关键性（参见图1）。符合安全要求和合规性评估程序的数字产品将获得在所有欧盟成员国有效的欧盟合规性声明，并根据《条例（EC）765/2008》的一般原则标注CE标志。

CE标志表明产品符合欧盟的健康、安全和环境保护标准，允许产品在欧洲经济区内自由流通。通过这种方式，提议的网络弹性法案（CRA）不仅确保了产品的网络安全性，还促进了单一市场的统一性和开放性。

罚款

成员国将指定市场监管机构负责执行提议的网络弹性法案（CRA）义务。如果不遵守提案中规定的义务，将根据违规类型和经济运营者的性质适用以下最高罚款。例如，制造商如果不符合附录I中列出的安全要求，可能面临1500万欧元或其全球年总营业额的2.5%，以较高者为准的罚款。制造商、进口商或分销商如果不遵守草案法规中规定的其他义务，可能面临1000万欧元或其全球年总营业额的2%，以较高者为准的罚款。

这些罚款旨在确保经济运营者认真对待其网络安全义务，并在整个供应链中保持高水平的合规性。

合规性评估程序与现有或即将出台的网络安全立法的相互作用

提议的网络弹性法案（CRA）及其规定的合规性评估程序与其他现有或拟议的网络安全立法相辅相成。该提案旨在通过引入针对具有数字元素产品的网络安全要求来统一欧盟的监管环境，而不会与以下列出的立法要求重叠。

从现有立法开始，CRA提案将补充欧盟网络安全框架的基础，即NIS2指令和欧盟网络安全法案。NIS2指令为关键和重要实体设定了网络安全要求和事件报告义务，以提高其韧性，例如明确要求展示这些实体如何评估ICT产品和服务的安全水平。因此，通过CRA达到的具有数字元素产品的增强和认证的网络安全水平，将有助于NIS2指令范围内的实体合规，并加强整个供应链的安全性。

欧盟网络安全法案规定了自愿认证计划的开发。每个计划包括对相关标准、技术规范和其他在计划中定义的网络安全要求的参考。符合这些自愿网络安全认证计划的数字产品将被视为符合提议的CRA中的合规性评估要求。最后，提议的CRA适用于RED授权法规范围内的无线电设备。该提案与RED授权法规中对联网无线和可穿戴无线电设备制造商施加高标准的要求保持一致。为了避免监管重叠，一旦CRA生效，委员会将废除RED授权法规中也涵盖在CRA提案中的特定无线电设备。

在机械法规中涵盖的数字产品，如果需要进行合规性评估，则在满足行业机械法规的健康和安全要求的情况下，将被视为符合提议的CRA。

关于正在通过的立法提案，提议的CRA下的合规性评估程序也将考虑人工智能法案的规定。作为一般规则，对于也被分类为高风险AI系统的设备，提议的CRA下的合规性评估程序将用于证明符合人工智能法案下的安全要求。然而，某些AI关键产品适用例外情况。

咨询委员会

欧洲经济和社会委员会（EESC）在2022年12月14日至15日的全体会议上通过了其意见。

国家议会

国家议会的补充性原则意见截止日期为2022年12月19日。只有捷克众议院发表了理由意见。

利益相关者观点

提案范围：涉及哪种软件？

代表欧洲数字技术行业的DigitalEurope认为，将所有软件纳入提案范围是过于激进和不成熟的步骤，因为行业和政府的网络资源都很有限。另一方面，代表欧洲数字安全行业的Eurosmart支持将软件作为产品纳入相关责任规则，因为这有助于在依赖软件的产品投放市场时认可网络安全价值链。促进互联网发展的非政府组织（NGO）互联网协会呼吁明确将非营利开源许可软件排除在CRA范围之外，因为提案中对商业活动的定义不明确。代表各种规模企业的Business Europe也认为有必要进一步澄清不用于商业活动的开源软件的排除问题。行业联盟多次敦促共同立法者将非营利开源软件排除在CRA范围之外。

个人数据作为基本网络安全要求

欧洲数据保护监督机构（EDPS）建议将个人数据保护视为具有数字元素产品的“基本网络安全要求”。这应该通过应用数据保护设计和默认原则来实现。提案应明确说明其目的不是影响数据保护机构的权力。

基于风险的产品分类

代表欧洲家电行业的APPLiA主张明确区分低风险和高风险产品，并为这两类产品定义明确的标准。欧洲数字中小企业联盟呼吁采用基于风险的方法，不同的产品类别应遵循不同的程序（例如，对低风险产品施加最低要求和合规性检查）。消费者组织协会Euroconsumers认为，应重新考虑将消费者物联网产品（例如面向儿童的联网设备）排除在关键产品类别之外。这类产品如果被黑客攻击，可能会带来潜在的危害，第三方风险评估可以在检测其漏洞方面发挥作用。欧洲消费者组织BEUC确认了这一立场，并表示CRA应为所有关键产品引入欧洲网络安全认证计划，作为证明其合规性的替代方案。代表测试、检验和认证行业的TIC委员会同样对目前尽管具有收集、存储和共享数据能力但仍被归为低风险类别的消费者物联网产品的性质表示担忧。开发者联盟强调，委员会在更新附录III中的关键产品列表时保留了较大的自由裁量权。

Eurosmart敦促对附录III中包含的产品进行精确的类别定义。同样，一个行业联盟主张采用比例方法来确定产品风险水平，以避免不当将过多产品指定为关键产品。代表机械和工厂工程行业的VDMA担心，将所有联网机器和系统的核心组件分类为关键产品可能会导致制造商面临繁琐的程序。他们认为，许多工业组件仅用于非关键目的。他们担心这种方法可能会导致数字产品及其组件在欧洲的部署延迟，并建议参考产品的预期用途。六家欧洲科技公司的首席执行官和Digital Europe警告说，CRA的广泛范围可能会因要求制造商通过第三方认证机构对其产品进行认证而在欧盟供应链中造成类似COVID-19的中断。因此，附录III中的高风险产品数量应尽量减少。同样，一个行业联盟认为，附录III中的大多数产品应归入非关键类别，并因此遵循自我评估，以避免推出新产品时产生过高的成本。

合规性评估程序

欧洲消费者组织（BEUC）支持对某些对消费者构成较高风险的产品（例如安全家居系统）进行独立的第三方合规性评估。类似地，TIC委员会也倾向于由独立于产品开发者的机构进行合规性评估。他们担心，由于提议的CRA涵盖的90%的数字产品仍将由其制造商进行评估，这可能会导致市场上存在一定数量的产品对消费者的安全构成风险。此外，TIC委员会要求TIC行业被充分认可为网络安全合规性评估中的可信合作伙伴。技术检验机构协会TÜV Verband认为，CRA不仅应定义网络安全要求，还必须规定有效的工具，以可靠地验证这些要求的合规性。该协会认为，所有关键产品都应由独立评估机构进行强制性评估。

与此相反，计算机和通信行业协会（CCIA）认为，数字产品的合规性评估程序过于繁琐，可能会阻碍新技术和服务的发展。

对缺乏横向网络安全标准化计划表示担忧。例如，VDMA担心缺乏适当的标准可能会导致批准产品的交付延迟。Eurosmart鼓励不同的标准化倡议来支持CRA所描述的不同产品类型的认证计划。他们认为，具有数字元素的关键产品的网络安全应在欧盟网络安全法案的认证计划下以“高”级别进行评估。将此计划应用于具有数字元素的关键产品将提供符合CRA要求的推定，因为它包含强制性渗透测试——这是认真评估此类产品稳健性的唯一方法。他们还建议利用所有可用的欧洲标准，而不仅仅是使用“协调标准”，因为后者会产生限制作用。

关怀义务和产品生命周期

Euroconsumers对预期产品生命周期的定义持保留态度，其中关怀义务（即制造商在“预期产品生命周期”内监控和解决任何漏洞的责任）被设定为最长五年。这可能会对用户造成问题，例如智能家居安全系统的用户通常期望其使用寿命远超过五年。对此，BEUC要求制造商在产品的整个生命周期内提供软件更新并区分功能更新和安全更新。与此相反，欧洲数字中小企业联盟对提供更新义务的时间限制表示欢迎。一个行业联盟则拒绝区分安全更新和功能更新，认为这“不可行”。他们认为，仅将预期产品生命周期与合理的用户期望挂钩会造成法律不确定性。

Eurosmart主张制造商应有权根据产品的技术能力自由定义其预期生命周期，但他们应在合规性声明中明确指出这一点。

通知疲劳、未修补漏洞的报告和过渡期

Blackberry指出，向不同机构报告网络安全事件对公司构成了负担。BEUC认为，ENISA应成为需要报告任何事件的中央报告实体。美国商会（AmChamEU）建议将CRA的通知义务与现有或拟议的涵盖网络事件的立法（如NIS2指令）对齐。同样，一组首席执行官支持扩展NIS2指令的方法，即仅报告重大风险，并适用“一事件一报告”原则。Eurosmart对提议制造商仅报告重大事件表示欢迎，但这些事件应有明确的定义。

欧洲数字权利（EDRi），一个数字公民和人权组织的协会，呼吁在处理漏洞披露要求时加入保障措施，以避免滥用与漏洞相关的信息。同样，一个由国家、欧洲和国际协会组成的联盟敦促取消报告未修补漏洞的义务，并仅限于披露可采取缓解措施的漏洞。这与数字行业联盟的立场相呼应。这一立场还在57位网络安全专家起草的公开信中以及另一个行业联盟的立场中得到了重申。如果积极利用的漏洞仍在法规范围内，一组首席执行官要求制造商自行决定是修补漏洞还是立即报告。

代表欧洲技术行业的Orgalim要求在CRA生效后给予48个月的过渡期，以确保行业准备好遵守新规定。各种行业联盟要求类似的过渡期，范围从48个月到72个月不等。另一方面，TIC委员会拒绝推迟实施截止日期。

学术观点

对横向法规的需求

Ludvigsen和Nagaraja建议将提议的法规应用于整个供应链，并支持完全透明的概念。这意味着理解产品的加密和网络安全工具不应被视为不披露信息的商业秘密（除某些例外情况，如硬件验证机制）。同样，Chiara主张统一欧盟网络安全规则，因为这将是通过增强用户信任和提高带有CE标志的产品知名度来提高网络韧性的最有效方法。根据作者的观点，CRA推动了网络安全概念的发展，超越了技术IT安全。横向方法有助于通过避免进一步的立法重叠和市场碎片化来确保法律确定性。此外，Chiara认为这种方法支持欧洲数字权利和原则宣言中规定的网络安全原则，并适合执行该原则。Burri和Zielhmann警告说，CRA作为全球网络安全标准制定者的总体目标可能会产生不利影响——导致全球数据治理的碎片化。与此同时，数据创新中心表示，CRA下的横向框架可能会带来高昂的合规成本，并可能不足以应对未来的变化。因此，他们建议采用行业方法进行网络安全法规，以尽量减少成本。

基于风险的方法和持续风险评估

根据数据创新中心的文章，提议的网络弹性法案（CRA）应包括持续安全风险管理的要求，确保数字产品在其整个生命周期内保持安全，并将渗透测试作为维护系统的一部分。作者主张，应该由成员国的专门机构而非私人组织来评估数字产品的安全性。Burri和Zielhmann对适当的网络安全和保护水平提出质疑，特别是考虑到90%的数字产品将由制造商进行自我评估。他们还质疑将某一产品所处环境排除在考虑范围之外的决定，因为威胁和风险在很大程度上取决于环境。此外，将产品的预期寿命设定为五年可能会导致缺陷，因为许多产品的寿命更长，或者已经在市场上存在了一段时间，可能超过了五年的期限。

监控与执行

Ludvigsen和Nagaraja在监控和执行方面提出了几个有趣的建议。他们的文章概述了CRA的两种可能方法：在欧盟层面创建共同规则并在国家层面执行；或者通过一个中央机构（如ENISA）在欧盟层面协调一些措施，并将其余的措施交由国家当局负责。两种方法都需要考虑《网络安全法案》提供的自愿认证计划。最后，作者建议通过赋予国家当局检查权来采用严格的执行机制。在人员和制裁方面，他们建议采用类似于AI法案提案中的人员配置要求和类似于GDPR中设想的制裁，并增加可能禁止网络不安全产品进入市场的选项。

Burri和Zielhmann发现，市场监控当局在特定情况下进行干预的标准过于宽泛和模糊。此外，他们强调了由于监控和监督的复杂性，不同国家当局之间可能出现的协调问题。他们警告说，由于提案措辞不明确，可能导致监控的碎片化，从而在欧盟内部的国家市场监控当局之间造成不平衡，因为市场监控当局有权自行决定是否调查产品。还应更加关注罚款的实施与禁止产品进入欧盟市场之间的关系，这一点尚不够明确。

立法过程

在欧洲议会，文件被分配给工业、研究和能源委员会（ITRE），由Nicola Danti（Renew，意大利）担任报告员。内部市场和消费者保护委员会（IMCO）对提案的第7和第9条拥有专属权限，并对第4、8、21、22和25-40条拥有共享权限。公民自由、司法和内政委员会（LIBE）对提案的第41(5)条拥有共享权限。IMCO和LIBE委员会均被要求提交意见。IMCO于2023年6月30日发布了其意见，而LIBE委员会决定不发表意见。

ITRE委员会于2023年7月19日通过了其报告。委员会对委员会提案的主要修正点包括：

范围：报告确认了委员会提案将所有具有数字元素的产品纳入范围。然而，报告强调需要确保开源软件开发者如果没有从项目中获得任何财务回报，则应被排除在范围之外。报告扩大了I类关键产品的列表，包括家庭自动化系统和增强私人安全的产品，如摄像头和智能锁。
预期产品生命周期：报告给予制造商灵活性来确定处理漏洞的时间长度；在这方面需要更大的明确性。制造商将被要求提供自动安全更新，并为用户提供易于使用的停用选项。在可行的情况下，他们还需要区分安全更新和功能更新。当支持期少于五年时，制造商需要向希望提供安全更新的公司提供其源代码。
报告需要与NIS2指令对齐，以简化制造商的义务，并仅强制报告重大事件和积极利用的漏洞，通过多步骤方法（24小时、72小时、一个月）进行。ENISA将成为报告的一站式实体，并应得到加强以履行其在法规下的额外任务。
应用截止日期：报告建议将法规的应用时间延长至36个月。在这方面，中小微企业需要获得足够的支持以确保其合规。协调标准和共同规范或欧洲网络安全认证计划需要在合规性评估程序开始应用前六个月到位。委员会需要提供更详细的实施指南。
网络安全劳动力：报告强调网络安全专业人员的重要性，并建议进行技能提升和再培训以确保他们可用性。
与第三国的互认协议（MRAs）被提议以促进国际贸易并确保与CRA提供的保护水平相同。关于非技术风险因素的监控，ENISA和市场监控当局需要对可能带来更高风险的供应商进行必要检查。

在理事会，Coreper也于2023年7月19日达成共同立场，使理事会能够与议会进行谈判。理事会显著地从具有数字元素的产品中删除了“关键”概念，并删除了附录III中列出的大量产品。理事会引入了三类产品——带有安全盒的硬件设备、智能电表和智能卡，分组在新的附录IIIa中。这些产品对于NIS2指令定义的关键实体至关重要，将属于强制性的欧洲网络安全认证计划。产品的生命周期将由制造商确定，制造商需要指定处理漏洞的年份和月份。理事会将网络安全事件和积极利用漏洞的报告从ENISA转移到国家计算机安全事件响应团队（CSIRTs），通过一个两步过程进行初步通知，分别在24小时和72小时后。理事会建议将法规的应用推迟至36个月，议会也设想了这一点。

议会于2023年9月13日确认ITRE委员会进入跨机构谈判的决定。共同立法者在2023年9月27日和11月8日的三方谈判中会面，并在2023年11月30日的第三次三方谈判中就文本达成临时协议。

达成的文本简化了数字产品分类的方法。欧洲议会议员确保扩展了涵盖设备的列表，包括身份管理系统软件、密码管理器、生物识别阅读器、智能家居助手和私人安全摄像头。制造商的支持期应至少为五年，并区分安全（自动安装）和功能更新。对于报告，初始接收者将是主管国家当局，他们将通知ENISA以评估情况，并在估计风险具有系统性时通知其他成员国，以便他们能够采取必要措施。

在理事会，Coreper于2023年12月确认了协议。ITRE委员会在2024年1月批准了临时协议；欧洲议会在2024年3月通过了文本，并在2024年9月批准了一份勘误表。理事会在2024年10月批准了文本。网络韧性法案于2024年10月23日正式签署，并于2024年11月20日在《官方公报》上发布。

欧洲议会支持分析