2024年10月10日，欧盟理事会通过《网络弹性法案》。该法案旨在确保数字产品安全抵御网络威胁，历经多年筹备。法案包含制造商义务、网络安全要求、适用范围、消费者识别等关键要素，通过后将签署并发布，预计未来生效并适用。

💻《网络弹性法案》定义了‘包含数字元素的产品’和‘制造商’，规定在设计、开发和生产过程中采取必要网络安全措施，确保产品无已知漏洞、默认安全，提供数据机密性和可转移性，并建立漏洞事件报告机制。

🛡️该法案引入欧盟范围内的网络安全要求，用于硬件和软件产品的设计、开发、生产和上市，避免成员国不同立法产生的重叠要求，产品将带CE标志以表明符合法规要求。

🎯法案适用于所有直接或间接连接到其他设备或网络的产品，但现有欧盟规则中已规定网络安全要求的产品可获豁免，如医疗设备、航空产品和汽车。

👀法案允许消费者在选择和使用含数字元素产品时考虑网络安全因素，便于识别具有适当网络安全功能的硬件和软件产品。

2024年10月10日，欧盟理事会宣布通过《网络弹性法案》（Cyber Resilience Act）。该法案于今年3月12日经欧洲议会批准通过，旨在确保具有数字功能的产品（例如“物联网”（IoT）产品）安全可用并抵御网络威胁。

背景：

该法案由欧盟委员会主席冯德莱恩在 2021 年 9 月首次宣布， 2022 年 5 月 23 日在欧盟理事会关于欧盟网络态势发展的结论中被提及，要求欧盟委员会在 2022 年底前提交其提案。

2022 年 9 月 15 日，委员会提交了《网络弹性法案提案》，该法案将补充现有的欧盟网络安全框架：

网络和信息系统安全指令（NIS 指令）

关于在整个联盟实现高水平网络安全措施的指令（NIS 2 指令）

欧盟网络安全法案

关键要素：

制造商义务：

该法案定义了“包含数字元素的产品”和“制造商”，并规定了设计、开发和生产过程中必要的网络安全措施。制造商必须确保产品没有已知漏洞、默认安全，并提供数据机密性和可转移性。他们还必须建立漏洞事件报告机制，并设定具体的通知时间表。

网络安全要求：

引入了欧盟范围内的网络安全要求，用于硬件和软件产品的设计、开发、生产和上市，以避免欧盟成员国不同立法产生的重叠要求。例如，软件和硬件产品将带有CE 标志，以表明它们符合法规要求。在欧洲经济区 (EEA) 扩展单一市场上交易的许多产品上都出现了“CE”字样。它们表示在欧洲经济区销售的产品已经过评估，符合高安全、健康和环境保护要求。

适用范围：

适用于所有直接或间接连接到其他设备或网络的产品。现有欧盟规则中已规定了网络安全要求的产品可获豁免，例如医疗设备、航空产品和汽车。

消费者识别：

允许消费者在选择和使用包含数字元素的产品时考虑网络安全因素，以便于更容易识别具有适当网络安全功能的硬件和软件产品。

该法案通过后，将由欧盟理事会主席和欧洲议会主席签署，并在未来几周内发布在欧盟官方公报上。预计将在发布后 20 天生效，并将在生效后 36 个月内适用，但部分条款可提前适用。

本文来源自“European Council"，https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

责任编辑：王婉清

声明：本文来自数据法律资讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。