歐盟最近在官方公報上發布了新的法規:《網絡彈性法案》(CRA),它規定了含有數字元素產品必須遵守的網絡安全標準。根據這一法案,所有受影響的公司有36個月的時間來確保他們遵守CRA的規定。此外,對于某些特定的報告義務,公司需要在未來21個月內完成。
那么,誰需要對CRA負責呢?答案是,所有在歐盟市場上銷售含有數字元素產品的制造商、進口商和分銷商都需要遵守這些規定。這包括了B2C產品,如智能手機和機器人吸塵器,以及B2B產品,如控制器和傳感器,還有純軟件產品,比如操作系統。
機器制造商需要關注的關鍵要求
● 風險評估與保障:在設計和開發階段,制造商必須確保其產品在整個生命周期內達到適當的網絡安全水平。
● 漏洞管理:制造商需要通過免費的安全更新來修復已知的漏洞,除非他們與商業用戶有其他協議。
● 文件記錄:制造商必須識別并記錄產品中的漏洞和組件信息。
● 報告義務:一旦發現漏洞,制造商必須在24小時內通過歐盟網絡安全局(ENISA)的報告平臺進行報告。
機器制造商可以采取的行動
作為自動化安全領域的專家,皮爾磁建議機器制造商及時適應CRA的要求,并與組件制造商和運營商合作,共同開發合作概念。這包括明確機器應在哪個網絡區域運行,以及如何處理軟件更新等問題。通過提前明確這些問題,每個經濟運營商都能履行其新的組織和技術義務。皮爾磁多年來一直為機器制造商和用戶提供設備和機器安全方面的支持,包括滿足工業信息安全的新要求。因為沒有安全保障,機器的所有安全措施都是脆弱的,必須采取預防措施。
此外,以下是兩個實用的技巧,幫助實施CRA規范:
● 保持更新:訂閱eur-lex.europa.eu上的新聞簡報和RSS源,以便隨時了解歐盟層面的立法變化。
● 使用CSAF:通用安全建議框架(CSAF)是一個標準化的開源框架,用于交流和自動分發機器可處理的漏洞和緩解信息,也就是安全建議。
