欧盟最近在官方公报上发布了新的法规:《网络弹性法案》(CRA),它规定了含有数字元素产品必须遵守的网络安全标准。根据这一法案,所有受影响的公司有36个月的时间来确保他们遵守CRA的规定。此外,对于某些特定的报告义务,公司需要在未来21个月内完成。
那么,谁需要对CRA负责呢?答案是,所有在欧盟市场上销售含有数字元素产品的制造商、进口商和分销商都需要遵守这些规定。这包括了B2C产品,如智能手机和机器人吸尘器,以及B2B产品,如控制器和传感器,还有纯软件产品,比如操作系统。
机器制造商需要关注的关键要求
● 风险评估与保障:在设计和开发阶段,制造商必须确保其产品在整个生命周期内达到适当的网络安全水平。
● 漏洞管理:制造商需要通过免费的安全更新来修复已知的漏洞,除非他们与商业用户有其他协议。
● 文件记录:制造商必须识别并记录产品中的漏洞和组件信息。
● 报告义务:一旦发现漏洞,制造商必须在24小时内通过欧盟网络安全局(ENISA)的报告平台进行报告。
机器制造商可以采取的行动
作为自动化安全领域的专家,皮尔磁建议机器制造商及时适应CRA的要求,并与组件制造商和运营商合作,共同开发合作概念。这包括明确机器应在哪个网络区域运行,以及如何处理软件更新等问题。通过提前明确这些问题,每个经济运营商都能履行其新的组织和技术义务。皮尔磁多年来一直为机器制造商和用户提供设备和机器安全方面的支持,包括满足工业信息安全的新要求。因为没有安全保障,机器的所有安全措施都是脆弱的,必须采取预防措施。
此外,以下是两个实用的技巧,帮助实施CRA规范:
● 保持更新:订阅eur-lex.europa.eu上的新闻简报和RSS源,以便随时了解欧盟层面的立法变化。
● 使用CSAF:通用安全建议框架(CSAF)是一个标准化的开源框架,用于交流和自动分发机器可处理的漏洞和缓解信息,也就是安全建议。
