江蘇
隨著歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,簡(jiǎn)稱CRA)正式生效日期臨近,全球范圍內(nèi)具有數(shù)字元素的產(chǎn)品制造商正面臨全新的合規(guī)挑戰(zhàn)。CRA法案對(duì)產(chǎn)品和制造商提出了嚴(yán)格要求,企業(yè)需在限定時(shí)間內(nèi)完成產(chǎn)品的合格評(píng)定程序,方可進(jìn)入歐盟市場(chǎng)。
CRA法案是歐盟首部針對(duì)“具有數(shù)字元素產(chǎn)品”的網(wǎng)絡(luò)安全法規(guī),將于2027年12月11日起強(qiáng)制實(shí)施。
根據(jù)法案要求,只要在歐盟市場(chǎng)提供具有數(shù)字元素的硬件或軟件產(chǎn)品,均需滿足CRA法案附件I中列出的基本網(wǎng)絡(luò)安全要求,包括但不限于:歐盟符合性申明、技術(shù)文檔、無(wú)已知可利用漏洞、提供及時(shí)安全更新、實(shí)施協(xié)調(diào)漏洞披露政策等。對(duì)于被列為“重要”或“關(guān)鍵”類別的產(chǎn)品,還需接受更嚴(yán)格的第三方合格評(píng)定程序。
法案要求,企業(yè)面臨哪些現(xiàn)實(shí)難題?
據(jù)行業(yè)觀察,國(guó)內(nèi)制造企業(yè)在應(yīng)對(duì)CRA合規(guī)過(guò)程中普遍面臨四大核心難題:一是對(duì)法規(guī)條款理解不透徹,容易遺漏細(xì)節(jié);二是企業(yè)不確定自身產(chǎn)品該如何滿足 CRA 法案要求,缺乏可操作的落地方案;三是技術(shù)文檔撰寫門檻高,CRA法案對(duì)技術(shù)文檔、符合性聲明等提出了極高的專業(yè)要求,自行準(zhǔn)備難以達(dá)到審核機(jī)構(gòu)認(rèn)可的標(biāo)準(zhǔn);四是項(xiàng)目統(tǒng)籌與多方溝通耗時(shí)耗力,企業(yè)往往難于應(yīng)對(duì)。
CRA法案附件VII對(duì)技術(shù)文檔的內(nèi)容、格式、詳細(xì)程度都有明確規(guī)定,需要涵蓋產(chǎn)品設(shè)計(jì)開(kāi)發(fā)描述、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告、漏洞處理流程規(guī)范、測(cè)試報(bào)告、軟件物料清單等數(shù)十項(xiàng)內(nèi)容,每一項(xiàng)都需要嚴(yán)格按照法案要求編制。
CRA法案合規(guī)解決方案
對(duì)于企業(yè)在國(guó)際市場(chǎng)的合規(guī)痛點(diǎn),一些第三方合規(guī)服務(wù)機(jī)構(gòu)開(kāi)始提供針對(duì)性的解決方案,來(lái)幫助企業(yè)更高效通過(guò)CRA法案。例如,浙江望安科技有限公司推出的“一站式安全合規(guī)服務(wù)”,采取的就是全權(quán)負(fù)責(zé)的方式。據(jù)公司介紹,企業(yè)只需要配合提供產(chǎn)品的基礎(chǔ)資料,其余的所有合規(guī)流程均由望安科技負(fù)責(zé)執(zhí)行,包括合規(guī)路徑選擇、技術(shù)文檔撰寫、漏洞處理機(jī)制建立、認(rèn)證機(jī)構(gòu)溝通等。
“我們?yōu)槊總€(gè)項(xiàng)目委派1對(duì)1專業(yè)的項(xiàng)目經(jīng)理全程統(tǒng)籌,并配備具備安全技術(shù)背景的團(tuán)隊(duì)全權(quán)負(fù)責(zé)。”望安科技相關(guān)負(fù)責(zé)人表示,“企業(yè)不需要自己組建合規(guī)團(tuán)隊(duì),也不用為技術(shù)文檔和產(chǎn)品反復(fù)修改頭疼,可以專注于產(chǎn)品研發(fā)與迭代。”
出海專業(yè)人士指出,CRA法案的實(shí)施將重塑歐盟市場(chǎng)的競(jìng)爭(zhēng)格局。在日趨嚴(yán)格的國(guó)際監(jiān)管環(huán)境下,主動(dòng)合規(guī)已成為企業(yè)拓展海外市場(chǎng)的關(guān)鍵能力。那些率先通過(guò)CRA合規(guī)、證明產(chǎn)品具備高水平網(wǎng)絡(luò)安全要求的廠商,將在市場(chǎng)準(zhǔn)入、供應(yīng)鏈選擇、品牌信任等方面占據(jù)明顯優(yōu)勢(shì)。
CRA《網(wǎng)絡(luò)彈性法案》將于2027年12月11日起強(qiáng)制實(shí)施。屆時(shí),未滿足法案相關(guān)要求的制造商,將面臨處罰、市場(chǎng)準(zhǔn)入受限,甚至被要求產(chǎn)品召回等風(fēng)險(xiǎn)。對(duì)于計(jì)劃進(jìn)入或已布局歐盟市場(chǎng)的企業(yè)而言,提前規(guī)劃并逐步落實(shí) CRA 合規(guī)要求,已成為保障業(yè)務(wù)連續(xù)性和市場(chǎng)競(jìng)爭(zhēng)力的必要準(zhǔn)備。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
