歐盟 CRA 法規簡介

「網路韌性法(Cyber Resilience Act, CRA)」是歐盟於2022年提出並在今年10月通過的法規，目的是確保連網產品的網路安全性。CRA為所有數位產品設立了嚴格的網路安全要求，特別針對可能連接至網際網路的設備與軟體。法規的重點是確保這些產品在整個生命周期中保持安全，以減少潛在的網路威脅和漏洞風險。 

CRA的重要時間點 

·         2022年9月：歐盟執委會提出《資安韌性法》草案，旨在為所有進入歐盟市場的物聯網（IoT）設備提供資安指引與規範。 

·         2024年10月：歐盟理事會正式採納該法案，為數位產品設立新的安全要求。 

·         2024年11月：預計法案會在歐盟官方公報上發布。法規發布後的20天內開始生效，並且企業有36個月來準備遵守新規定。 

主要內容與要求 

CRA 包含多項重要的網路安全要求，主要涉及以下幾個方面： 

1.      設計安全：產品從設計到生產階段就要內建安全功能，防止網路攻擊。 

2.      持續更新：連網產品必須支援定期安全更新和漏洞修補，保持長期安全性。 

3.      資訊透明：製造商需提供產品安全資訊，包括安全設計、已知風險和更新政策。 

4.      監管與罰則：市場監管機構會檢查產品的安全性，不合規定者可能會被罰款或下架。 

CRA涵蓋哪些產品？ 

CRA 的範圍非常廣，主要是包含所有能連網的數位設備，例如： 

1.  智慧家居產品：像智慧冰箱、電視、音響、門鎖、監控攝影機、智慧玩具等。 

2.  穿戴式裝置：智慧手錶、健康監測器等，因能連接手機或網路而納入規範。 

3.  日常IoT設備：包括智慧燈泡、連網插座、家用安全防護系統等。 

4.  工業IoT設備：如工廠的監控系統、自動化設備等，為了保障工業網路安全也涵蓋在內。 

哪些產品不受CRA影響？ 

CRA 對所有數位產品都有影響嗎？不完全是！以下類別因有其他專門法規保護，所以不在CRA的適用範圍內： 

·         醫療設備：已經有更嚴格的醫療法規確保安全。 

·         航空設備：飛機和相關系統都受航空法規監管。 

·         汽車：歐盟車輛安全法已經為汽車的安全性上了雙重保險。 

此外，開源軟體在非商業用途下的部分也被豁免，不用擔心這些開源社群被 CRA 壓得喘不過氣來。 

CRA 的願景 

CRA 就像歐盟為數位世界建設的安全防護牆，確保每一件產品的安全。當我們在日常生活中使用各種智慧設備時，CRA 就在幕後默默地為我們的隱私和安全把關。對企業來說，這不僅僅是一個新的合規挑戰，更是提升產品可信度與市場競爭力的機會！ 

如果您對 CRA 有任何需求或疑問，或是需要進一步的測試與合規協助，歡迎隨時聯繫歐恩壹資安實驗室！我們將竭誠為您服務，確保您的產品符合最新的網路安全法規標準。

熱烈慶祝歐恩壹與歐陸電檢達成合作協議。

我們決心以歐恩壹的資安技術配合歐陸電檢龐大的客戶市場，共同為不同的電子業界夥伴提供最優質的資安測試服務。

這也表達我們歐恩壹實驗室的實力達到世界水平，可以與跨國企業建立具深度之合作關係。

簽署協議當日，歐恩壹以資安實驗室總監阮先生（Norton）為代表，與Eurofins 德國NB Mr.Thami、Euofins 台灣電檢代表Ethan共同簽署資安合作。

透過這個合作協議，我們會堅定的為客戶提供最專業的檢測及客戶服務，使您的產品可以完成資安認證銷售到世界各地。

假如您也有電子產品需要外銷，卻不肯定是否需要通過資安認證，誠摯邀請您來函 service@theonelab.co 向我們查詢。

CRA網路韌性法案概述

網路韌性法案（Cyber Resilience Act，CRA）旨在提升歐盟市場上數位產品的網路安全水準，確保這些產品能夠抵禦網路攻擊並保護用戶數據安全。該法案提出了一系列標準和要求，涵蓋了產品的設計、開發、生產、運營和棄置等生命周期的各個環節。

立法過程和現狀

Cyber Resilience Act 法案的立法過程已經取得顯著進展。2023年4月17日，CRA的第二版草案標準化請求已經發布，要求在未來幾年內完成41項交付成果。目前，相關工作組正在積極討論CRA的框架提案，並在不斷改進和完善標準體系。

立法時間表

根據目前的立法進程，CRA的主要時間節點包括：

水平流程標準、通用安全要求及垂直標準的介紹和解釋

1. 水平流程標準

   水平流程標準是指適用於所有類型數位產品的基礎安全標準。這些標準涵蓋了跨產品的通用安全流程和措施，例如身份驗證、訪問控制、數據加密以及漏洞管理等。這些標準旨在確保所有數位產品在基本安全層面上達到一致的要求。

2. 通用安全要求

   通用安全要求是針對所有數位產品所設定的共通安全規範，這些規範涵蓋了設備必須具備的基本安全功能，如安全通信協議、數據保護機制和系統完整性保護等。這些要求確保產品在市場上能夠提供基本的安全保障，防止常見的網路威脅和攻擊。

3. 垂直標準

   垂直標準則是針對特定類型或行業的數位產品制定的專門安全標準。這些標準考量了不同類型產品的特定需求和風險，例如醫療設備、工業控制系統和智慧家居裝置等，針對這些設備的獨特環境和使用情境制定專屬的安全規範，以確保其能夠在特定應用場景中安全運行。

CRA對資通訊類產品的影響

CRA法案對包括消費者物聯網設備、智慧家居虛擬助手、工業網路交換機等資通訊類產品在內的各種數位產品提出了具體的安全要求。這些要求涵蓋了從產品設計階段的安全考量，到產品運行期間的漏洞處理和安全更新機制，確保這些產品能夠在面對網路威脅時保持高水準的安全性。

—

歐恩壹的資安測試實驗室會持續關注最新法規的立法狀況，並按法規發展提供適切的資安測試服務，為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co

發布日期：2024年5月30日

來源：REDCA（2024年5月17日更新報告）

歐盟RED

歐盟RED-無線電設備指令（RED）的資安要求於2025年8月生效

1. Article 3.3(d): 確保無線電設備不會損害網絡或其功能，也不會濫用網絡資源，防止服務降級。要求包括監控和控制網絡流量、減輕拒絕服務攻擊影響、實施身份驗證和訪問控制機制等。
2. Article 3.3(e): 保護個人數據和隱私。這適用於處理個人數據、流量數據或位置數據的設備。要求包括保護數據免於未授權處理、提供自動和安全的軟件或固件更新機制等。
3. Article 3.3(f): 防止欺詐。這適用於支持支付交易的設備。要求包括防止未經授權的交易和保護用戶免受欺詐行為。

為了建立符合ISO 17025要求的網絡安全實驗室，我們公司正積極購置各種實驗儀器，並調整實驗室環境條件等。請大家拭目以待。