歐盟 CRA 法規簡介——歐盟 RED 以外之資安法規

歐盟 CRA 法規簡介

「網路韌性法(Cyber Resilience Act, CRA)」是歐盟於2022年提出並在今年10月通過的法規，目的是確保連網產品的網路安全性。CRA為所有數位產品設立了嚴格的網路安全要求，特別針對可能連接至網際網路的設備與軟體。法規的重點是確保這些產品在整個生命周期中保持安全，以減少潛在的網路威脅和漏洞風險。 

CRA的重要時間點 

·         2022年9月：歐盟執委會提出《資安韌性法》草案，旨在為所有進入歐盟市場的物聯網（IoT）設備提供資安指引與規範。 

·         2024年10月：歐盟理事會正式採納該法案，為數位產品設立新的安全要求。 

·         2024年11月：預計法案會在歐盟官方公報上發布。法規發布後的20天內開始生效，並且企業有36個月來準備遵守新規定。 

主要內容與要求 

CRA 包含多項重要的網路安全要求，主要涉及以下幾個方面： 

1.      設計安全：產品從設計到生產階段就要內建安全功能，防止網路攻擊。 

2.      持續更新：連網產品必須支援定期安全更新和漏洞修補，保持長期安全性。 

3.      資訊透明：製造商需提供產品安全資訊，包括安全設計、已知風險和更新政策。 

4.      監管與罰則：市場監管機構會檢查產品的安全性，不合規定者可能會被罰款或下架。 

CRA涵蓋哪些產品？ 

CRA 的範圍非常廣，主要是包含所有能連網的數位設備，例如： 

1.  智慧家居產品：像智慧冰箱、電視、音響、門鎖、監控攝影機、智慧玩具等。 

2.  穿戴式裝置：智慧手錶、健康監測器等，因能連接手機或網路而納入規範。 

3.  日常IoT設備：包括智慧燈泡、連網插座、家用安全防護系統等。 

4.  工業IoT設備：如工廠的監控系統、自動化設備等，為了保障工業網路安全也涵蓋在內。 

哪些產品不受CRA影響？ 

CRA 對所有數位產品都有影響嗎？不完全是！以下類別因有其他專門法規保護，所以不在CRA的適用範圍內： 

·         醫療設備：已經有更嚴格的醫療法規確保安全。 

·         航空設備：飛機和相關系統都受航空法規監管。 

·         汽車：歐盟車輛安全法已經為汽車的安全性上了雙重保險。 

此外，開源軟體在非商業用途下的部分也被豁免，不用擔心這些開源社群被 CRA 壓得喘不過氣來。 

CRA 的願景 

CRA 就像歐盟為數位世界建設的安全防護牆，確保每一件產品的安全。當我們在日常生活中使用各種智慧設備時，CRA 就在幕後默默地為我們的隱私和安全把關。對企業來說，這不僅僅是一個新的合規挑戰，更是提升產品可信度與市場競爭力的機會！ 

如果您對 CRA 有任何需求或疑問，或是需要進一步的測試與合規協助，歡迎隨時聯繫歐恩壹資安實驗室！我們將竭誠為您服務，確保您的產品符合最新的網路安全法規標準。