欧盟针对物联网产品安全法案即将实施,中国出海企业面临新要求

近日，欧洲议会投票通过了《网络安全弹性法案（CRA）》，以保护欧盟的所有数字产品免受网络威胁。其中，物联网产品是该法案适用范围“数字产品”的重要组成部分，未来该法案实施后，物联网产品将面临着新的要求。

笔者近期围绕海外发达经济体针对物联网产品网络安全出台的一些法案和政策进行跟踪研究，包括美国物联网安全标签计划、日本物联网安全标签计划、欧盟《数据法案》、英国《产品安全和电信基础设施法案》以及新加坡、德国、芬兰等国开展的物联网安全标签计划，可以看出，对物联网产品安全采取统一的措施已成为共识，尤其是针对物联网安全基线形成全国统一规范非常重要。《网络安全弹性法案》作为全球首个面对数字产品安全的专门法案，其中很多做法和思路值得参考。

法案适用范围：物联网产品是典型

《网络安全弹性法案》旨在建立整个供应链的基准产品安全法规，涵盖从开发到报废的产品生命周期，该法案将适用于在欧盟境内销售的各种软件和互联产品。

法案提出其适用于在欧盟市场上销售的“带有数字元素的产品”，这类产品无论原产地在哪里，也无论该产品是否免费提供，只要在欧盟市场上，都适用于该法案。

法案对于“带有数字元素的产品”做了初步解释，即包括软件以及与其他设备或网络直接或间接连接的软硬件产品。法案提出典型的产品包括独立软件以及物联网产品、操作系统或其他有形设备，如电视、笔记本电脑、婴儿监视器、智能家居等。

法案也提出了一些不适用的范畴，例如，一些网站和云服务方案（如SaaS服务）如果不支持远程处理“带有数字元素的产品”或不是这些产品的功能，就不纳入法案的范畴。

当然，法案适用于支持这些数字元素产品运行的远程数据处理解决方案，例如物联网产品的移动应用程序；同时，法案也适用于集成到数字元素产品中的软件和硬件组件。

在商业活动之外开发的开源软件不在该法案的适用范围之内。法案指出，自由和开放源码的软件将受到宽松监管制度的约束。

另外，法案也不适用于某些已经有部门立法的产品，例如医疗器械、机动车、海事和航空设备，也不适用于专门为国家安全或国防开发的数字产品。

基本网络安全要求

《网络安全弹性法案》为制造商的数字产品制定了一套必须遵守的基本安全要求。这些要求旨在通过从一开始就解决关键的安全漏洞来最大限度地降低网络安全风险。基本的安全要求包括：

• 默认安全配置：产品必须带有默认安全配置，允许用户在必要时轻松将其重置为初始状态。

• 防止未经授权的访问：必须建立适当的控制机制，包括认证、身份或访问管理系统。

• 加密：无论是在静止状态还是在传输过程中，产品存储、传输或处理的数据必须通过加密进行保护，以保护其机密性。

• 完整性：产品存储、传输或处理的数据以及命令、程序和配置必须得到保护，以防未经用户授权的操纵或修改。

• 数据最小化：产品应仅收集和处理对其预期用途绝对必要的数据，尽量减少处理的个人或其他数据量。

• 有效性：基本功能必须能够抵御拒绝服务攻击。

• 攻击面限制：产品应设计有限的攻击面，最大限度地减少网络攻击的潜在切入点。

• 漏洞管理：必须建立机制，以便能够及时有效地修补漏洞，应对新出现的网络安全威胁。

对制造商的要求

法案提出制造商必须开发、生产和销售具有与风险相适应的“基本网络安全要求”的产品。此外，制造商还必须建立流程和文件来验证其产品是否符合法案要求的。主要包括：

1、产品安全要求

网络安全风险评估：制造商必须进行与产品相关的网络安全风险评估，且风险评估必须在支持期内更新，并在整个产品生命周期中予以考虑。

漏洞管理：产品必须在没有已知可利用漏洞的情况下在市场上提供，若发现漏洞必须立即为漏洞提供安全更新，并公开披露补救的漏洞。安全更新必须在至少10年或支持期的剩余时间内保持可用，以较长者为准，同时制造商必须记录其了解到的相关产品漏洞。

支持期限：支持期应符合预期使用时间，但必须至少为五年。用户在购买时必须能够明确了解支持期的结束时间，包括月份和年份。

软件材料清单：制造商必须确定并记录产品组件和漏洞，包括起草至少包含产品主要依赖项的软件材料清单。

测试：制造商必须定期测试产品安全性。

漏洞报告：制造商必须在24小时内向其指定的欧盟成员国计算机安全事故响应小组（CISRT）报告任何被恶意行为者利用的产品漏洞。然后，制造商必须在72小时内提交一份总体跟进报告，并在缓解措施出台后14天内提交一份详细报告。除特殊情况外，这些漏洞报告将转发给产品上市所在成员国的其他安全事故响应小组和市场监管机构。同时，制造商还必须将事故通知其用户。

协同漏洞披露：制造商必须建立协调的漏洞披露政策，并为第三方提供联系地址以报告产品中的漏洞。当制造商发现产品软件或硬件组件中的漏洞时，必须向负责该组件的一方报告漏洞。

2、证明产品一致性

技术文档：制造商必须创建和维护技术文件，以证明其产品符合法案的基本安全要求。技术文档必须在产品投放市场之前完成，并应在产品支持期间不断更新。

符合性评估：在将产品投放市场之前，制造商必须对产品进行符合性评估，以确保符合安全要求。法案对产品安全做了分级，主要包括：

• 未分类或默认级别：这一大类包括大多数带有数字元素的产品，制造商可以自我评估是否符合安全要求。

• 第一类和第二类（Classes I and II）：该级别被认为是“重要”的数字产品，这些产品必须经过第三方合格评估，它们可以适用统一标准或统一网络安全认证计划。第一类和第二类产品具有网络安全相关功能，如果被破坏，其功能会带来重大负面影响风险。

• “关键”的数字产品：该类别包括被认为是基本服务关键依赖项的产品，如智能卡或具有安全元件的类似设备、智能计量系统以及用于高级安全目的的其他设备。

数字产品完成符合性评估后，制造商必须起草一份符合性声明以补充技术文件，并将这些记录保存十年或支持期内（以较长者为准）。此外，数字产品必须具有CE标志，以表明产品在进入市场之前符合法案标准。这一要求可以视作强制性的安全标签计划。

同时，法案还对进口商和分销商提出相关要求，例如包括对制造商的产品进行尽职调查、发现漏洞后及时通知制造商、向欧洲当局告知重大风险、保留记录以及售后责任等。

对不合规行为的处罚

法案规定，对于未能遵守法案中提出的漏洞报告、网络事件报告或基本网络安全要求的公司，可能面临高达1500万欧元或其全球营业额2.5%的行政罚款，以较高者为准。

未能遵守多项其他义务的公司，可能会被处以最高1000万欧元的行政罚款，或其全球营业额的2%，以较高者为准。

同时，那些向执法机构或国家网络事件响应小组提供误导性信息可能导致500万欧元的罚款，或全球营业额的1%，以较高者为准。

在某些情况下，欧盟成员国当局可以要求厂商从欧盟市场召回或撤出不合规产品。

《网络安全弹性法案》实施日期之前，欧盟将制定统一标准，以更好地帮助制造商进行一致性评估。一旦生效，制造商、进口商和分销商将有三年时间适应新要求。中国是物联网产品的生产和出口大国，大量数字产品出口欧洲，相关生产厂商需要高度重视，提前学习《网络安全弹性法案》相关内容，做好应对。