为什么《欧盟网络弹性法案》很重要

网络弹性法案将对具有所谓数字元素并投放欧盟市场的产品提出要求。该法案的目标是通过对产品制造商、进口商和分销商设定最低要求，改善欧盟市场上具有数字元素的产品的网络安全。在大多数情况下，术语数字元件是指软件，但该行为也适用于硬件产品，例如基于现场可编程门阵列 （FPGA） 的产品。

该法案将影响除少数例外情况的所有商品。例如，医疗器械和机动车辆被排除在外，以避免重复监管，因为这些商品已经在欧盟类似要求的范围内。我们还应该注意，即使软件产品在该法案的范围内，软件即服务解决方案也不会受到影响。

在撰写本博文时，《网络弹性法案》的最终文本尚未公布。但是，您可以在以下 URL 中找到 2023 年 12 月谈判中批准的妥协文本：https://data.consilium.europa.eu/doc/document/ST-17000-2023-INIT/EN/pdf。

时间线

由于《网络弹性法案》是一项法案而不是一项指令，因此它将是直接有效的立法，而不是通过必须由欧盟成员国制定的国家法律。工会内部就该法案的内容达成了协议，因此预计将于 2024 年上半年生效。该法案的通知责任有 21 个月的过渡期，其他要求有 36 个月的过渡期。

就产品开发公司的规划时间表而言，过渡期设定的第一个截止日期是，您应该准备好安排最迟在 2026 年初左右启动并运行您的漏洞处理活动。对于其他要求，截止日期预计为 2027 年上半年。这听起来可能很长，但考虑到该法案的深远影响，现在是开始为这些截止日期努力的最佳时机。

该法案不会影响在该法案生效之前已投放欧盟市场的商品。因此，您可能很想在 2026 年底安排长期支持产品版本，并尽量不要进行会触发此法案要求的重大更改。但是，我建议不要过分依赖这个回旋余地。客户和市场可能会开始要求适当级别的网络安全，坦率地说，用户、公民和公司应该拥有能够充分管理任何与软件相关的网络安全风险的产品。

直接影响

该法案的要求相对简单明了，我们鼓励您在最终文本可用后阅读该法案的实际文本。从一开始就很清楚，一切都始于制造商必须进行的风险评估。其他基本要求应根据风险评估的结果并与风险成比例地实施。

SDL 流程：产品开发必须采用设计、开发、制造和维护流程，以确保适当级别的网络安全。需要应用有效且定期的测试和审查。在实践中，您需要加快安全开发生命周期 （SDL） 流程。

基本功能要求： 商品必须满足一小部分基本要求，同样与风险成比例，并在适用的情况下。要求很简短，您应该直接从该法案的附件 I 中阅读它们。他们包括：

• 在产品投放市场时没有可利用的漏洞，

• 默认安全配置

• 支持安全更新，包括自动更新（如适用），

• 存取控制

• 数据的机密性和完整性，

• 数据最小化，

• 在事件发生后保护基本功能的可用性，包括防止拒绝服务攻击，

• 最大限度地减少自身或连接的设备对其他设备或网络提供的服务可用性的负面影响，

• 限制攻击面（强化），

• 通过适当的漏洞利用缓解机制减少事件的影响，

• 网络安全监控，以及

• 可以删除数据，例如在处理产品时。

漏洞处理是《网络弹性法案》的一个主要领域。产品制造商必须：

• 制定软件物料清单 （SBOM），

• 及时解决和修复漏洞。这通常需要提供软件更新，

• 共享和公开披露有关已修复漏洞的信息，

• 制定协调漏洞披露政策，

• 共享信息并设置报告漏洞的联系渠道，

• 提供软件更新分发机制，以便可以快速缓解修复，并在适用的情况下自动缓解修复，以及

• 提供免费的安全更新和文档。

该法案包括在出现积极利用的漏洞或影响产品安全性的严重事件时通知当局的责任。必须在发现问题后 24 小时内提交早期警告通知，在 72 小时内提交实际通知，并在 14 天内（对于积极利用的漏洞）或一个月内（对于事件）提交处理问题的最终报告。

在文档方面，该法案要求产品手册包含向用户提供的某些与安全相关的指导，例如安全安装、集成、作和处置说明。

产品开发团队还必须编写一套广泛的技术文档，其中包括风险评估、架构和设计规范、漏洞处理文档以及网络安全测试计划和测试结果的副本。技术文件不必公开，但可能必须提供给市场监督机构。

商品制造商还必须执行欧盟合格评定程序。有多种方法可以执行此作，所需的方法取决于产品的关键程度。欧盟委员会最初的《网络弹性法案》提案包括两类关键产品。据我们所知，最终法案仍将具有相同的基本结构，但类的定义将与原始提案不同。我们建议在做出过多的规划假设之前等待最终文本。尽管如此，该法案的要求将涉及所有具有数字元素的商品，只有关键商品所需的欧盟合格评定方法会有所不同。

最后，产品制造商应将产品发布、SBOM、产品手册、技术文档和符合性声明存档 10 年。