CRA網路韌性法案概述

網路韌性法案（Cyber Resilience Act，CRA）旨在提升歐盟市場上數位產品的網路安全水準，確保這些產品能夠抵禦網路攻擊並保護用戶數據安全。該法案提出了一系列標準和要求，涵蓋了產品的設計、開發、生產、運營和棄置等生命周期的各個環節。

立法過程和現狀

Cyber Resilience Act 法案的立法過程已經取得顯著進展。2023年4月17日，CRA的第二版草案標準化請求已經發布，要求在未來幾年內完成41項交付成果。目前，相關工作組正在積極討論CRA的框架提案，並在不斷改進和完善標準體系。

立法時間表

根據目前的立法進程，CRA的主要時間節點包括：

水平流程標準、通用安全要求及垂直標準的介紹和解釋

1. 水平流程標準

   水平流程標準是指適用於所有類型數位產品的基礎安全標準。這些標準涵蓋了跨產品的通用安全流程和措施，例如身份驗證、訪問控制、數據加密以及漏洞管理等。這些標準旨在確保所有數位產品在基本安全層面上達到一致的要求。

2. 通用安全要求

   通用安全要求是針對所有數位產品所設定的共通安全規範，這些規範涵蓋了設備必須具備的基本安全功能，如安全通信協議、數據保護機制和系統完整性保護等。這些要求確保產品在市場上能夠提供基本的安全保障，防止常見的網路威脅和攻擊。

3. 垂直標準

   垂直標準則是針對特定類型或行業的數位產品制定的專門安全標準。這些標準考量了不同類型產品的特定需求和風險，例如醫療設備、工業控制系統和智慧家居裝置等，針對這些設備的獨特環境和使用情境制定專屬的安全規範，以確保其能夠在特定應用場景中安全運行。

CRA對資通訊類產品的影響

CRA法案對包括消費者物聯網設備、智慧家居虛擬助手、工業網路交換機等資通訊類產品在內的各種數位產品提出了具體的安全要求。這些要求涵蓋了從產品設計階段的安全考量，到產品運行期間的漏洞處理和安全更新機制，確保這些產品能夠在面對網路威脅時保持高水準的安全性。

—

歐恩壹的資安測試實驗室會持續關注最新法規的立法狀況，並按法規發展提供適切的資安測試服務，為客戶提供最新的資安測試及認證解決方案。

For further information, please contact:

Email: service@theonelab.co

發布日期：2024年5月30日

來源：REDCA（2024年5月17日更新報告）

歐盟RED

歐盟RED-無線電設備指令（RED）的資安要求於2025年8月生效

1. Article 3.3(d): 確保無線電設備不會損害網絡或其功能，也不會濫用網絡資源，防止服務降級。要求包括監控和控制網絡流量、減輕拒絕服務攻擊影響、實施身份驗證和訪問控制機制等。
2. Article 3.3(e): 保護個人數據和隱私。這適用於處理個人數據、流量數據或位置數據的設備。要求包括保護數據免於未授權處理、提供自動和安全的軟件或固件更新機制等。
3. Article 3.3(f): 防止欺詐。這適用於支持支付交易的設備。要求包括防止未經授權的交易和保護用戶免受欺詐行為。

為了建立符合ISO 17025要求的網絡安全實驗室，我們公司正積極購置各種實驗儀器，並調整實驗室環境條件等。請大家拭目以待。