欧盟《网络弹性法案》(CRA)即将落地,未来在欧盟市场销售的数字产品都必须满足更严格的网络安全标准。从制造商到分销商,每一个环节都将面临前所未有的合规挑战。本文将带你快速理解CRA的适用范围与核心义务,同时介绍艾体宝的ONEKEY产品安全平台,如何助力企业轻松实现漏洞管理与SBOM自动化,提前布局CRA合规,占领先机。
网络安全是欧盟面临的关键挑战之一。未来几年,连接设备的数量和种类将呈指数级增长。网络攻击不仅对欧盟经济产生重大影响,还对民主、消费者安全和健康构成威胁。因此,欧盟决定在联盟层面解决网络韧性问题,并通过制定统一的法律框架来改善内部市场的运作。
网络弹性法案(Cyber Resilience Act,下文简称“CRA”)由欧盟网络安全局提出,与《高度共同网络安全指令》(NIS 2指令)《网络安全法》《人工智能法案》和《通用数据保护条例》(GDPR)等有着密切联系,并有可能成为最重要的欧盟网络安全法律之一。
该法案旨在通过要求制造商实施和维护网络安全框架,并在产品的整个生命周期中遵循该框架,从而提高欧盟境内所有具有数字元素的产品的安全级别。安全属性透明度的提高也能使消费者和企业能够做出具有安全意识的决策,并更安全地使用具有数字元素的产品。
CRA于2024年12月10日正式生效,各项具体义务的生效时间如下:
●合格评估机构的通知义务于2026年6月11日生效。
●制造商的安全事件报告义务于2026年9月11日起实施。
●其他所有规定自 2027年12月11日起开始执行。
CRA的适用产品包括所有在欧盟市场销售或提供的、带有数字元素且预期或合理可预见的用途包括与设备或网络有直接或间接逻辑或物理数据连接的硬件或软件产品,列举如下:
●消费电子产品:如智能手机、笔记本电脑、智能手表、智能电视、联网家用电器等。
●物联网(IoT)设备:智能手表、联网家电、智能门锁、智能摄像头、工业物联网设备等各种连接到网络的物联网设备。
●物网络设备:路由器、调制解调器、网络交换机等网络基础设施设备。
●软件产品:包括操作系统、应用程序、工业控制软件等各种软件,无论其是独立销售还是与硬件产品捆绑销售。
CRA不适用的产品范围主要是其他同等级欧盟规则已经囊括的产品,列举如下:
●医疗器械:受《医疗器械法规(EU)2017/745》和《体外诊断医疗器械法规(EU)2017/746》调整规范的数字产品。
●汽车:受《车辆一般安全条例(EU)2019/2144》规范的数字产品。
●航空产品:受《民用航空条例通用规则(EU)2018/1139》认证的数字产品。
●关键或重要实体的网络服务:当 SaaS 适用《高度共同网络安全指令》(NIS 2 指令)规定的关键或重要实体所属企业的网络安全管理义务时,不适用《网络弹性法案》。
●国家安全或军事目的:专为国家安全或军事目的开发的数字产品不在该法案的规范范围内。
CRA将规制主体定义为经济运营者,包括制造商、授权代表、进口商、分销商或任何其他须履行该法案规定义务的自然人或法人。该法案对经济运营者进行了具体划分,针对不同类型的主体施加不同的义务。
CRA对制造商要求严格,制造商需要确保产品符合法案规定的基本网络安全要求,即产品需要具备适当的网络安全水平,且没有可被利用的漏洞。具体义务内容如下:
●制造商应确保产品是按照CRA中规定的基本网络安全要求设计、开发和生产的;产品具备基于风险的适当的网络安全水平;产品交付时没有任何已知的可利用漏洞。
●制造商应对其产品相关的网络安全风险进行评估,并在产品的规划、设计、开发、生产、交付和维护过程中考虑其结果,从而最大限度地降低网络安全风险,防止发生安全事故并尽量减少其影响,包括对用户健康和安全的影响。此外,制造商在集成来自第三方的组件时必须尽职尽责,以确保这些组件不会危及产品的安全性。
●制造商必须以与性质和网络安全风险相称的方式系统地记录相关的网络安全事项。
●产品投放欧盟市场时,技术文档中必须包含网络安全风险评估。
●制造商必须确保产品的漏洞在预期的产品生命周期内或从投放市场算起的五年内(以较短者为准)得到有效处理。
●在将产品投放市场之前,制造商必须起草技术文档,该文档必须包含所有相关数据并且必须不断更新;进行产品质量评估;确保产品满足欧盟符合性声明,并为产品张贴CE标志;产品随附清晰、易懂、可理解和易读的信息和说明。
●制造商需要制定适当的政策和程序以处理和修复潜在的漏洞。
●制造商负有报告义务。如果产品中包含任何被积极利用的漏洞或任何事件对产品的安全性产生影响,制造商需要在发现上述情况后的24小时内,立即向欧盟网络安全机构(European Union Agency for Cybersecurity,ENISA)报告此情况,不得无故拖延。此外,在识别组件中的漏洞后,制造商需要将漏洞报告给维护组件的个人或实体。
CRA要求分销商和进口商如果发现数字产品存在漏洞,应立即通知制造商。如果产品存在重大网络安全风险,则需要立即通知产品销售地所在成员国的市场监督机构。具体义务如下:
●在将产品投放市场之前,进口商必须确保:制造商已进行产品质量评估;制造商已起草技术文件;产品带有CE标志;产品附有清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。
●进口商必须在数字产品的包装或产品随附文件中标明其名称、注册商号或注册商标、邮政地址和可以联系到他们的电子邮件地址。联系方式应使用用户和市场监督机构易于理解的语言。
●在数字产品投放市场后的十年内,进口商必须保留一份欧盟符合性声明的副本,以供市场监督机构使用。
CRA的一个核心要求是管理供应链风险。在现代应用中,80%-90% 的代码库由第三方软件组件组成,包括开源和专有软件,这些组件包括用于保护传输中敏感信息的加密库,以及用于控制互联设备中包含的第三方硬件模块的闭源 SDK。由于大部分代码库不受制造商的直接控制,所以互联设备的风险很大一部分是从第三方软件组件继承的。因此,CRA加强了供应链风险的管控,相关要求如下:
●必须确定软件组件,并且必须维护软件物料清单 (SBOM)。
●必须立即修复漏洞,并且需要将安全更新分发给受影响的用户。
●必须定期对产品进行安全级别的测试和审查。
●需要对所有第三方组件进行尽职调查。
为了实现CRA对供应链风险的管控要求,艾体宝提供了ONEKEY方案。ONEKEY方案中的产品安全平台随时提供自动化支持,提供包括漏洞管理、供应链评估流程等功能,并协助满足报告和文档要求。此外,ONEKEY 还提供专家建议和咨询资源,以支持制造商、进口商和分销商实现CRA合规性。
具体而言,ONEKEY方案中的产品安全平台利用专利级的二进制提取技术使得无需源代码就能对二进制固件进行更深入和精确的分析。ONEKEY能自动生成详细的SBOM,包括固件所有级别的软件依赖关系,SBOM可以以机器可读(即CycloneDX、SPDX)或人类可读格式(CSV、EXCEL)导出,以供其他系统、最终用户和监管机构使用。接下来,ONEKEY 使用自然语言处理(NLP)方法来确定是否存在影响此软件版本的公开已知漏洞。
此外,ONEKEY基于深度学习的方法会自动分析漏洞可利用的先决条件。在集成的自动化影响评估中,如果满足可利用性的先决条件,则会分析目标设备,从而过滤掉不相关的漏洞。这种独特的方法通过显著减少手动影响评估并允许开发和产品安全事件响应团队(PSIRT)来缩短响应时间。对于未被滤掉的漏洞,系统也会每个漏洞都会进行评分,以显示其与您的产品的相关性。分数越高,它影响您的产品的可能性就越大,从而使安全响应团队能够有效地确定优先级并缩短修复时间。所有证据都被收集并附加到 CVE 匹配项中,从而易于说明为什么某些问题无关紧要。
ONEKEY的固件监控功能会每日分析目标产品是否存在新的零日漏洞或已知漏洞,并对所有已识别的漏洞自动执行基于AI/ML的影响评估。这使制造商能够在最短的时间内对新漏洞做出反应,并创建和分发安全补丁。对于已经修复,需要重新进行漏洞检测和技术合规性检查的固件版本,ONEKEY产品安全平台也无需您重新输入所有信息,只需要上传新的软件版本,平台就会检测到差异并突出显示这些差异信息供您查看。
除了通过向CRA要求的流程添加自动化控制来减少手动工作外,ONEKEY还通过差距分析和实施支持帮助具有数字元素的产品制造商、进口商和分销商采用CRA要求的流程。ONEKEY的技术专家和安全研究人员扩展了ONEKEY的自动化功能,确定产品在哪些方面和CRA标准仍有差距,并对受影响的连接设备进行渗透测试和漏洞评估。
/3 
文章评论(0条评论)
登录后参与讨论