中国 zh
Hotline
联系人
中国 | 中文

网络弹性法案

网络弹性法案带来了一系列新的要求。未来将适用哪些要求?

自2027年12月11日起,仅符合网络弹性法案(CRA)要求的产品方可在欧盟境内投放市场。CRA规定了含数字元件产品的网络安全要求

网络弹性法案包含哪些新要求?哪些产品属于CRA范围?企业需要采取哪些措施? 我们为您梳理了核心要点。

两个男人在工作场所说话

有关网络弹性法案的关键问题(FAQ)

什么是网络弹性法案?

网络弹性法案(CRA)是一项欧盟法规,它定义了对具有数字元素的产品的工业信息安全要求。受影响产品必须进行根本性审查与改造。此举至关重要,因自2027年12月起,仅符合网络弹性法要求的产品方可投放市场。

网络弹性法案何时生效?

该法规已于2024年11月20日刊登于欧盟官方公报。它于2024年12月10日生效,并将 于2027年12月11日在欧盟成为强制性的。然而,根据CRA,制造商报告已遭利用漏洞的义务将自2026年9月11日起生效。

CRA究竟要求什么?

该法案旨在为消费者和企业提供更完善的网络攻击防护机制。CRA包含针对具有数字元素、能够与其他产品通信的产品的制造商、进口商和分销商的各种规范。这包括硬件和软件产品。该要求贯穿整个产品生命周期,涵盖从设计、开发、制造、交付、维护到客户现场全周期运行阶段。

网络弹性法案是法规还是指令?

网络弹性法案属于欧盟法规,因此直接适用于欧盟所有成员国,无需转化为各国国内法。

哪些产品属于CRA的适用范围?

CRA涉及含数字组件的产品,此类产品需接受合规性核查

网络弹性法案(CRA)适用于所有含有数字组件(如软件或高风险人工智能系统)且连接至网络或其他设备的产品。因此,该法案的适用范围极为广泛,涵盖以下产品类别:

  • 工业硬件与软件,如物联网设备、可编程逻辑控制器(PLC)及传感器
  • 软件解决方案,包括桌面应用、网页应用、移动应用及操作系统
  • 私人智能设备及其配套软硬件

这些产品将根据潜在风险划分为不同类别。尤其在关键基础设施、工业生产或能源工业领域使用的系统,被归入更高风险等级。针对此类产品,其符合性评估程序要求正在调整,因其可能对公共安全和经济稳定产生重大影响。

我们能做什么?企业需要满足哪些要求?

生产含数字元件产品的制造商必须遵守CRA的安全要求。这包括进行风险分析,并制定及实施降低风险的应对措施。同时必须建立并维护风险评估文档(以及为降低安全风险所采取的应对措施记录)。该文档须保存至少10年。必须持续监测潜在安全漏洞,在产品典型使用寿命期内(至少5年)免费提供安全更新,并在发现安全漏洞后24小时内向ENISA及相关国家机构报告

即使已符合CRA要求且未修改的产品,仍须依据透明规则进行测试评估。检测结果文件须保存十年。 还必须创建软件物料清单,并证明开发和测试工作已按照工业信息安全标准进行。

欧盟符合性声明对于CRA意味着什么?

制造商将继续出具欧盟符合性声明,表明已证明符合基本网络安全要求。 对制造商而言,这意味着通过符合性评估将验证其是否满足风险评估、漏洞管理及文件记录方面的要求。若所有要求均满足,则签发符合性声明。 

是否仍存在适用于所有欧盟法规的单一欧盟符合性声明?

若含数字元素的产品同时受多项欧盟法规约束,且每项法规均要求欧盟符合性声明,则可签发一份适用于所有欧盟法规的统一声明。该声明需明确列出相关欧盟法规及其在《欧盟官方公报》的引用依据。

欧盟符合性声明的保存期限是多久?

制造商需为每种产品型号编制书面符合性声明,并在含数字元素的产品投放市场后十年内或产品支持期内(以较长者为准)向国家主管部门提供该声明。符合性声明必须注明其适用的产品型号。相关当局提出要求时,应提供符合性声明的副本。

网络弹性法案和NIS 2有何区别?

  • CRA规定了 含数字元素产品的设计、开发和制造的基本网络安全要求,并明确了经济运营商在这些产品网络安全方面的义务。
  • NIS 2指令针对公司,要求它们采取组织和技术措施以降低公司内部的工业信息安全风险。
  • 加强欧盟的网络安全:这两套法规 - 《网络弹性法》与《NIS 2指令》 - 通过聚焦不同层级的网络安全形成互补:《网络弹性法》侧重产品安全,《NIS 2指令》则针对基础设施和关键服务的安全性。二者共同为欧盟整体网络安全水平的提升作出重要贡献。

Pilz产品是否符合网络弹性法案的要求?

多年来,Pilz始终依据IEC 62443-4-1标准构建其开发流程。作为“工业信息安全基础标准”,该标准定义了产品安全开发流程 - 即“安全开发生命周期过程”。TÜV Süd在审核中确认了我们开发流程的合规性。Pilz不仅安全,而且可靠

这对我们的客户至关重要,因为除新颁布的机械法规(欧盟法规2023/1230)外,另一项涉及安全的法规 - 网络弹性法案(欧盟法规2024/2847)也将于2027年强制实施。

具体而言,现有产品将在必要时进行改造,新产品开发将遵循CRA规范,合规性(CE认证)也将依据适用要求进行调整。不符合要求的产品将停止生产,或作为备件继续供应。但后者不得用于新安装项目。

 

有关网络弹性法案的更多信息

工业信息安全白皮书由Pilz推出

工业信息安全

有关工业信息安全主题的更多信息(包括我们的免费白皮书),请访问以下页面获取。

有关工业信息安全的更多信息
戴着耳机坐在屏幕前打电话的员工。

请联系我们!

您是否对CRA有任何其他疑问,或者您是否需要有关如何在贵公司实施CRA的建议?我们经验丰富的咨询团队将竭诚为您提供帮助。

立刻联系我们!
顶部
中国区业务联系

皮尔磁工业自动化(上海)有限公司
上海浦东龙阳路2277号永达国际大厦1702-1705室

电话: +86 21 60880878
电子邮件: sales@pilz.com.cn

皮尔磁工业自动化(上海)有限公司

浦东新区龙阳路2277号永达国际大厦1702-1705室
上海
中国

电话: 021 60880878
电子邮件: sales@pilz.com.cn

技术支持

电话: 400-088-3566
电子邮件: sales@pilz.com.cn

  1. Pilz
    2. /
  2. 支持
    3. /
  3. 法律与标准
    4. /
  4. 制造商和雇主/运营者
    5. /
  5. Cyber Resilience Act
打开联系表单
电话:400-088-3566
“邮件: sales@pilz.com.cn
Cookie settings

“我们能为您做什么?

本人明白,除非本人同意,否则所收集的任何个人数据仅用于处理订单和处理本人的询问。有关数据保护的更多信息以及数据保护官的详细联系方式,请点击此处: Pilz数据保护
可随时撤销同意(电子邮件即可)。
* 强制字段