艾體寶干貨丨全面解讀CRA：抓住歐盟網絡安全新規(guī)下的合規(guī)機遇

隨著歐盟《網絡彈性法案》（Cyber Resilience Act, CRA）的正式實施，所有帶有數字元素的產品必須滿足更高的網絡安全標準。本文全面解析CRA的生效時間、適用范圍、主要義務要求，并詳細介紹如何通過ONEKEY方案高效應對合規(guī)挑戰(zhàn)，實現供應鏈安全與漏洞管理的自動化。

歐盟《網絡彈性法案》（CRA）即將落地，未來在歐盟市場銷售的數字產品都必須滿足更嚴格的網絡安全標準。從制造商到分銷商，每一個環(huán)節(jié)都將面臨前所未有的合規(guī)挑戰(zhàn)。本文將帶你快速理解CRA的適用范圍與核心義務，同時介紹艾體寶的ONEKEY產品安全平臺，如何助力企業(yè)輕松實現漏洞管理與SBOM自動化，提前布局CRA合規(guī)，占領先機。

網絡安全是歐盟面臨的關鍵挑戰(zhàn)之一。未來幾年，連接設備的數量和種類將呈指數級增長。網絡攻擊不僅對歐盟經濟產生重大影響，還對民主、消費者安全和健康構成威脅。因此，歐盟決定在聯盟層面解決網絡韌性問題，并通過制定統一的法律框架來改善內部市場的運作。

一、網絡彈性法案概述

網絡彈性法案（Cyber Resilience Act，下文簡稱“CRA”）由歐盟網絡安全局提出，與《高度共同網絡安全指令》（NIS 2指令）《網絡安全法》《人工智能法案》和《通用數據保護條例》（GDPR）等有著密切聯系，并有可能成為最重要的歐盟網絡安全法律之一。

該法案旨在通過要求制造商實施和維護網絡安全框架，并在產品的整個生命周期中遵循該框架，從而提高歐盟境內所有具有數字元素的產品的安全級別。安全屬性透明度的提高也能使消費者和企業(yè)能夠做出具有安全意識的決策，并更安全地使用具有數字元素的產品。

二、網絡彈性法案的生效時間及適用產品范圍

CRA于2024年12月10日正式生效，各項具體義務的生效時間如下：

• 合格評估機構的通知義務于2026年6月11日生效。
• 制造商的安全事件報告義務于2026年9月11日起實施。
• 其他所有規(guī)定自 2027年12月11日起開始執(zhí)行。

CRA的適用產品包括所有在歐盟市場銷售或提供的、帶有數字元素且預期或合理可預見的用途包括與設備或網絡有直接或間接邏輯或物理數據連接的硬件或軟件產品，列舉如下：

• 消費電子產品：如智能手機、筆記本電腦、智能手表、智能電視、聯網家用電器等。
• 物聯網（IoT）設備：智能手表、聯網家電、智能門鎖、智能攝像頭、工業(yè)物聯網設備等各種連接到網絡的物聯網設備。
• 物網絡設備：路由器、調制解調器、網絡交換機等網絡基礎設施設備。
• 軟件產品：包括操作系統、應用程序、工業(yè)控制軟件等各種軟件，無論其是獨立銷售還是與硬件產品捆綁銷售。

CRA不適用的產品范圍主要是其他同等級歐盟規(guī)則已經囊括的產品，列舉如下：

• 醫(yī)療器械：受《醫(yī)療器械法規(guī)（EU）2017/745》和《體外診斷醫(yī)療器械法規(guī)（EU）2017/746》調整規(guī)范的數字產品。
• 汽車：受《車輛一般安全條例（EU）2019/2144》規(guī)范的數字產品。
• 關鍵或重要實體的網絡服務：當 SaaS 適用《高度共同網絡安全指令》（NIS 2 指令）規(guī)定的關鍵或重要實體所屬企業(yè)的網絡安全管理義務時，不適用《網絡彈性法案》。
• 國家安全或軍事目的：專為國家安全或軍事目的開發(fā)的數字產品不在該法案的規(guī)范范圍內。

三、網絡彈性法案的要求

CRA將規(guī)制主體定義為經濟運營者，包括制造商、授權代表、進口商、分銷商或任何其他須履行該法案規(guī)定義務的自然人或法人。該法案對經濟運營者進行了具體劃分，針對不同類型的主體施加不同的義務。

1.對制造商的要求

CRA對制造商要求嚴格，制造商需要確保產品符合法案規(guī)定的基本網絡安全要求，即產品需要具備適當的網絡安全水平，且沒有可被利用的漏洞。具體義務內容如下：

• 制造商應確保產品是按照CRA中規(guī)定的基本網絡安全要求設計、開發(fā)和生產的；產品具備基于風險的適當的網絡安全水平；產品交付時沒有任何已知的可利用漏洞。
• 制造商應對其產品相關的網絡安全風險進行評估，并在產品的規(guī)劃、設計、開發(fā)、生產、交付和維護過程中考慮其結果，從而最大限度地降低網絡安全風險，防止發(fā)生安全事故并盡量減少其影響，包括對用戶健康和安全的影響。此外，制造商在集成來自第三方的組件時必須盡職盡責，以確保這些組件不會危及產品的安全性。
• 制造商必須以與性質和網絡安全風險相稱的方式系統地記錄相關的網絡安全事項。
• 產品投放歐盟市場時，技術文檔中必須包含網絡安全風險評估。
• 制造商必須確保產品的漏洞在預期的產品生命周期內或從投放市場算起的五年內（以較短者為準）得到有效處理。
• 在將產品投放市場之前，制造商必須起草技術文檔，該文檔必須包含所有相關數據并且必須不斷更新；進行產品質量評估；確保產品滿足歐盟符合性聲明，并為產品張貼CE標志；產品隨附清晰、易懂、可理解和易讀的信息和說明。
• 制造商需要制定適當的政策和程序以處理和修復潛在的漏洞。
• 制造商負有報告義務。如果產品中包含任何被積極利用的漏洞或任何事件對產品的安全性產生影響，制造商需要在發(fā)現上述情況后的24小時內，立即向歐盟網絡安全機構（European Union Agency for Cybersecurity，ENISA）報告此情況，不得無故拖延。此外，在識別組件中的漏洞后，制造商需要將漏洞報告給維護組件的個人或實體。

2.對分銷商和進口商的要求

CRA要求分銷商和進口商如果發(fā)現數字產品存在漏洞，應立即通知制造商。如果產品存在重大網絡安全風險，則需要立即通知產品銷售地所在成員國的市場監(jiān)督機構。具體義務如下：

• 在將產品投放市場之前，進口商必須確保：制造商已進行產品質量評估；制造商已起草技術文件；產品帶有CE標志；產品附有清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。
• 進口商必須在數字產品的包裝或產品隨附文件中標明其名稱、注冊商號或注冊商標、郵政地址和可以聯系到他們的電子郵件地址。聯系方式應使用用戶和市場監(jiān)督機構易于理解的語言。
• 在數字產品投放市場后的十年內，進口商必須保留一份歐盟符合性聲明的副本，以供市場監(jiān)督機構使用。

四、對供應鏈風險的管理

CRA的一個核心要求是管理供應鏈風險。在現代應用中，80%-90% 的代碼庫由第三方軟件組件組成，包括開源和專有軟件，這些組件包括用于保護傳輸中敏感信息的加密庫，以及用于控制互聯設備中包含的第三方硬件模塊的閉源 SDK。由于大部分代碼庫不受制造商的直接控制，所以互聯設備的風險很大一部分是從第三方軟件組件繼承的。因此，CRA加強了供應鏈風險的管控，相關要求如下：

• 必須確定軟件組件，并且必須維護軟件物料清單 （SBOM）。
• 必須立即修復漏洞，并且需要將安全更新分發(fā)給受影響的用戶。
• 必須定期對產品進行安全級別的測試和審查。
• 需要對所有第三方組件進行盡職調查。

五、供應鏈風險對策

為了實現CRA對供應鏈風險的管控要求，艾體寶提供了ONEKEY方案。ONEKEY方案中的產品安全平臺隨時提供自動化支持，提供包括漏洞管理、供應鏈評估流程等功能，并協助滿足報告和文檔要求。此外，ONEKEY 還提供專家建議和咨詢資源，以支持制造商、進口商和分銷商實現CRA合規(guī)性。

具體而言，ONEKEY方案中的產品安全平臺利用專利級的二進制提取技術使得無需源代碼就能對二進制固件進行更深入和精確的分析。ONEKEY能自動生成詳細的SBOM，包括固件所有級別的軟件依賴關系，SBOM可以以機器可讀（即CycloneDX、SPDX）或人類可讀格式（CSV、EXCEL）導出，以供其他系統、最終用戶和監(jiān)管機構使用。接下來，ONEKEY 使用自然語言處理（NLP）方法來確定是否存在影響此軟件版本的公開已知漏洞。

此外，ONEKEY基于深度學習的方法會自動分析漏洞可利用的先決條件。在集成的自動化影響評估中，如果滿足可利用性的先決條件，則會分析目標設備，從而過濾掉不相關的漏洞。這種獨特的方法通過顯著減少手動影響評估并允許開發(fā)和產品安全事件響應團隊（PSIRT）來縮短響應時間。對于未被濾掉的漏洞，系統也會每個漏洞都會進行評分，以顯示其與您的產品的相關性。分數越高，它影響您的產品的可能性就越大，從而使安全響應團隊能夠有效地確定優(yōu)先級并縮短修復時間。所有證據都被收集并附加到 CVE 匹配項中，從而易于說明為什么某些問題無關緊要。

ONEKEY的固件監(jiān)控功能會每日分析目標產品是否存在新的零日漏洞或已知漏洞，并對所有已識別的漏洞自動執(zhí)行基于AI/ML的影響評估。這使制造商能夠在最短的時間內對新漏洞做出反應，并創(chuàng)建和分發(fā)安全補丁。對于已經修復，需要重新進行漏洞檢測和技術合規(guī)性檢查的固件版本，ONEKEY產品安全平臺也無需您重新輸入所有信息，只需要上傳新的軟件版本，平臺就會檢測到差異并突出顯示這些差異信息供您查看。

除了通過向CRA要求的流程添加自動化控制來減少手動工作外，ONEKEY還通過差距分析和實施支持幫助具有數字元素的產品制造商、進口商和分銷商采用CRA要求的流程。ONEKEY的技術專家和安全研究人員擴展了ONEKEY的自動化功能，確定產品在哪些方面和CRA標準仍有差距，并對受影響的連接設備進行滲透測試和漏洞評估。