歐盟的《網絡彈性法案》規定了所有硬件和軟件的強制性網絡安全要求

《網絡彈性法案》（CRA）是歐洲議會和歐洲理事會就即將實施的重要立法達成的政治協議。該法案于 2022 年 9 月由歐洲委員會首次提出，旨在提高數字產品的網絡安全，造福整個歐盟的消費者和企業。它為所有硬件和軟件引入了成比例的強制性網絡安全要求，并根據產品的風險等級設定不同的安全要求。該法案還規定，制造商有法律義務在購買后的數年內為消費者提供及時的安全更新。

這些措施旨在讓用戶能夠做出更加明智和安全的選擇，因為制造商將被要求增強對產品安全的透明度和承擔更多責任。

達成的協議現在有待歐洲議會和理事會的正式批準。《注冊服務法》一經通過，將在《官方公報》上公布后生效。硬件和軟件產品的制造商、進口商和分銷商將有 36 個月的時間來適應新要求，但制造商對事件和漏洞的報告義務除外，只有 21 個月的寬限期。

歐盟 CRA 旨在應對軟件供應鏈風險

歐盟 CRA 的一個關鍵激勵措施是應對圍繞軟件供應鏈的日益增長的安全風險和挑戰。歐盟委員會負責價值和透明度的副主席 Věra Jourová 表示：“消費者需要對歐盟市場上的產品感到安全。今天達成一致的《網絡彈性法案》將確保我們在家中和工作中使用的數字產品符合嚴格的網絡安全標準。將這些產品投入市場的人應對其安全負責。”

歐盟委員會負責促進我們歐洲生活方式的副主席瑪格麗蒂斯?希納斯（Margaritis Schinas）補充說，CRA 填補了安全規則的空白，確保所有到達歐盟消費者和用戶的產品都適用安全設計原則。“新規定要求在歐盟銷售的每一款互聯產品都必須是安全的，確保我們的企業和家庭變得更加安全。”

關于《網絡彈性法案》的爭議

自該法案去年宣布以來，它就受到了一些提議的廣泛批評。去年 10 月，數十名全球網絡安全專家對其漏洞披露要求表示擔憂。一封由 Google、電子前沿基金會、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多個組織代表簽署的公開信聲稱，關于漏洞披露的規定適得其反，將制造新的威脅，破壞數字產品及其使用者的安全。

今年 7 月，IT 和科技行業團體發布了一份建議清單，敦促共同立法者在確定最終立場時不要將速度置于質量之上，以避免意外后果，并列舉了提案中的幾個問題方面。

本文作者 Michael Hill ，原文出自：

https://www.cshub.com/threat-defense/news/cyber-resilience-act-agreement-reached-as-eu-legislation-edges-closer

本文由墨菲安全進行翻譯轉載，觀點不代表墨菲安全立場。

關于墨菲安全

墨菲安全是一家為您提供專業的軟件供應鏈安全管理的科技公司，能力包括代碼安全檢測、開源組件許可證合規管理、云原生容器安全檢測、軟件成分分析（SCA）等，豐富的安全工具助您打造完備的軟件開發安全能力（DevSecOps）。

旗下的安全研究團隊墨菲安全實驗室，專注于軟件供應鏈安全相關領域的技術研究，關注的方向包括：開源軟件安全、程序分析、威脅情報分析、企業安全治理等。公司核心團隊來自百度、華為等企業，擁有超過十年的企業安全建設、安全產品研發及安全攻防經驗。