艾體寶干貨丨全面解讀CRA：抓住歐盟網(wǎng)絡安全新規(guī)下的合規(guī)機遇

隨著歐盟《網(wǎng)絡彈性法案》（Cyber Resilience Act, CRA）的正式實施，所有帶有數(shù)字元素的產(chǎn)品必須滿足更高的網(wǎng)絡安全標準。本文全面解析CRA的生效時間、適用范圍、主要義務要求，并詳細介紹如何通過ONEKEY方案高效應對合規(guī)挑戰(zhàn)，實現(xiàn)供應鏈安全與漏洞管理的自動化。

歐盟《網(wǎng)絡彈性法案》（CRA）即將落地，未來在歐盟市場銷售的數(shù)字產(chǎn)品都必須滿足更嚴格的網(wǎng)絡安全標準。從制造商到分銷商，每一個環(huán)節(jié)都將面臨前所未有的合規(guī)挑戰(zhàn)。本文將帶你快速理解CRA的適用范圍與核心義務，同時介紹艾體寶的ONEKEY產(chǎn)品安全平臺，如何助力企業(yè)輕松實現(xiàn)漏洞管理與SBOM自動化，提前布局CRA合規(guī)，占領(lǐng)先機。

網(wǎng)絡安全是歐盟面臨的關(guān)鍵挑戰(zhàn)之一。未來幾年，連接設備的數(shù)量和種類將呈指數(shù)級增長。網(wǎng)絡攻擊不僅對歐盟經(jīng)濟產(chǎn)生重大影響，還對民主、消費者安全和健康構(gòu)成威脅。因此，歐盟決定在聯(lián)盟層面解決網(wǎng)絡韌性問題，并通過制定統(tǒng)一的法律框架來改善內(nèi)部市場的運作。

一、網(wǎng)絡彈性法案概述

網(wǎng)絡彈性法案（Cyber Resilience Act，下文簡稱“CRA”）由歐盟網(wǎng)絡安全局提出，與《高度共同網(wǎng)絡安全指令》（NIS 2指令）《網(wǎng)絡安全法》《人工智能法案》和《通用數(shù)據(jù)保護條例》（GDPR）等有著密切聯(lián)系，并有可能成為最重要的歐盟網(wǎng)絡安全法律之一。

該法案旨在通過要求制造商實施和維護網(wǎng)絡安全框架，并在產(chǎn)品的整個生命周期中遵循該框架，從而提高歐盟境內(nèi)所有具有數(shù)字元素的產(chǎn)品的安全級別。安全屬性透明度的提高也能使消費者和企業(yè)能夠做出具有安全意識的決策，并更安全地使用具有數(shù)字元素的產(chǎn)品。

二、網(wǎng)絡彈性法案的生效時間及適用產(chǎn)品范圍

CRA于2024年12月10日正式生效，各項具體義務的生效時間如下：

• 合格評估機構(gòu)的通知義務于2026年6月11日生效。
• 制造商的安全事件報告義務于2026年9月11日起實施。
• 其他所有規(guī)定自 2027年12月11日起開始執(zhí)行。

CRA的適用產(chǎn)品包括所有在歐盟市場銷售或提供的、帶有數(shù)字元素且預期或合理可預見的用途包括與設備或網(wǎng)絡有直接或間接邏輯或物理數(shù)據(jù)連接的硬件或軟件產(chǎn)品，列舉如下：

• 消費電子產(chǎn)品：如智能手機、筆記本電腦、智能手表、智能電視、聯(lián)網(wǎng)家用電器等。
• 物聯(lián)網(wǎng)（IoT）設備：智能手表、聯(lián)網(wǎng)家電、智能門鎖、智能攝像頭、工業(yè)物聯(lián)網(wǎng)設備等各種連接到網(wǎng)絡的物聯(lián)網(wǎng)設備。
• 物網(wǎng)絡設備：路由器、調(diào)制解調(diào)器、網(wǎng)絡交換機等網(wǎng)絡基礎(chǔ)設施設備。
• 軟件產(chǎn)品：包括操作系統(tǒng)、應用程序、工業(yè)控制軟件等各種軟件，無論其是獨立銷售還是與硬件產(chǎn)品捆綁銷售。

CRA不適用的產(chǎn)品范圍主要是其他同等級歐盟規(guī)則已經(jīng)囊括的產(chǎn)品，列舉如下：

• 醫(yī)療器械：受《醫(yī)療器械法規(guī)（EU）2017/745》和《體外診斷醫(yī)療器械法規(guī)（EU）2017/746》調(diào)整規(guī)范的數(shù)字產(chǎn)品。
• 汽車：受《車輛一般安全條例（EU）2019/2144》規(guī)范的數(shù)字產(chǎn)品。
• 關(guān)鍵或重要實體的網(wǎng)絡服務：當 SaaS 適用《高度共同網(wǎng)絡安全指令》（NIS 2 指令）規(guī)定的關(guān)鍵或重要實體所屬企業(yè)的網(wǎng)絡安全管理義務時，不適用《網(wǎng)絡彈性法案》。
• 國家安全或軍事目的：專為國家安全或軍事目的開發(fā)的數(shù)字產(chǎn)品不在該法案的規(guī)范范圍內(nèi)。

三、網(wǎng)絡彈性法案的要求

CRA將規(guī)制主體定義為經(jīng)濟運營者，包括制造商、授權(quán)代表、進口商、分銷商或任何其他須履行該法案規(guī)定義務的自然人或法人。該法案對經(jīng)濟運營者進行了具體劃分，針對不同類型的主體施加不同的義務。

1.對制造商的要求

CRA對制造商要求嚴格，制造商需要確保產(chǎn)品符合法案規(guī)定的基本網(wǎng)絡安全要求，即產(chǎn)品需要具備適當?shù)木W(wǎng)絡安全水平，且沒有可被利用的漏洞。具體義務內(nèi)容如下：

• 制造商應確保產(chǎn)品是按照CRA中規(guī)定的基本網(wǎng)絡安全要求設計、開發(fā)和生產(chǎn)的；產(chǎn)品具備基于風險的適當?shù)木W(wǎng)絡安全水平；產(chǎn)品交付時沒有任何已知的可利用漏洞。
• 制造商應對其產(chǎn)品相關(guān)的網(wǎng)絡安全風險進行評估，并在產(chǎn)品的規(guī)劃、設計、開發(fā)、生產(chǎn)、交付和維護過程中考慮其結(jié)果，從而最大限度地降低網(wǎng)絡安全風險，防止發(fā)生安全事故并盡量減少其影響，包括對用戶健康和安全的影響。此外，制造商在集成來自第三方的組件時必須盡職盡責，以確保這些組件不會危及產(chǎn)品的安全性。
• 制造商必須以與性質(zhì)和網(wǎng)絡安全風險相稱的方式系統(tǒng)地記錄相關(guān)的網(wǎng)絡安全事項。
• 產(chǎn)品投放歐盟市場時，技術(shù)文檔中必須包含網(wǎng)絡安全風險評估。
• 制造商必須確保產(chǎn)品的漏洞在預期的產(chǎn)品生命周期內(nèi)或從投放市場算起的五年內(nèi)（以較短者為準）得到有效處理。
• 在將產(chǎn)品投放市場之前，制造商必須起草技術(shù)文檔，該文檔必須包含所有相關(guān)數(shù)據(jù)并且必須不斷更新；進行產(chǎn)品質(zhì)量評估；確保產(chǎn)品滿足歐盟符合性聲明，并為產(chǎn)品張貼CE標志；產(chǎn)品隨附清晰、易懂、可理解和易讀的信息和說明。
• 制造商需要制定適當?shù)恼吆统绦蛞蕴幚砗托迯蜐撛诘穆┒础?/li>
• 制造商負有報告義務。如果產(chǎn)品中包含任何被積極利用的漏洞或任何事件對產(chǎn)品的安全性產(chǎn)生影響，制造商需要在發(fā)現(xiàn)上述情況后的24小時內(nèi)，立即向歐盟網(wǎng)絡安全機構(gòu)（European Union Agency for Cybersecurity，ENISA）報告此情況，不得無故拖延。此外，在識別組件中的漏洞后，制造商需要將漏洞報告給維護組件的個人或?qū)嶓w。

2.對分銷商和進口商的要求

CRA要求分銷商和進口商如果發(fā)現(xiàn)數(shù)字產(chǎn)品存在漏洞，應立即通知制造商。如果產(chǎn)品存在重大網(wǎng)絡安全風險，則需要立即通知產(chǎn)品銷售地所在成員國的市場監(jiān)督機構(gòu)。具體義務如下：

• 在將產(chǎn)品投放市場之前，進口商必須確保：制造商已進行產(chǎn)品質(zhì)量評估；制造商已起草技術(shù)文件；產(chǎn)品帶有CE標志；產(chǎn)品附有清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。
• 進口商必須在數(shù)字產(chǎn)品的包裝或產(chǎn)品隨附文件中標明其名稱、注冊商號或注冊商標、郵政地址和可以聯(lián)系到他們的電子郵件地址。聯(lián)系方式應使用用戶和市場監(jiān)督機構(gòu)易于理解的語言。
• 在數(shù)字產(chǎn)品投放市場后的十年內(nèi)，進口商必須保留一份歐盟符合性聲明的副本，以供市場監(jiān)督機構(gòu)使用。

四、對供應鏈風險的管理

CRA的一個核心要求是管理供應鏈風險。在現(xiàn)代應用中，80%-90% 的代碼庫由第三方軟件組件組成，包括開源和專有軟件，這些組件包括用于保護傳輸中敏感信息的加密庫，以及用于控制互聯(lián)設備中包含的第三方硬件模塊的閉源 SDK。由于大部分代碼庫不受制造商的直接控制，所以互聯(lián)設備的風險很大一部分是從第三方軟件組件繼承的。因此，CRA加強了供應鏈風險的管控，相關(guān)要求如下：

• 必須確定軟件組件，并且必須維護軟件物料清單 （SBOM）。
• 必須立即修復漏洞，并且需要將安全更新分發(fā)給受影響的用戶。
• 必須定期對產(chǎn)品進行安全級別的測試和審查。
• 需要對所有第三方組件進行盡職調(diào)查。

五、供應鏈風險對策

為了實現(xiàn)CRA對供應鏈風險的管控要求，艾體寶提供了ONEKEY方案。ONEKEY方案中的產(chǎn)品安全平臺隨時提供自動化支持，提供包括漏洞管理、供應鏈評估流程等功能，并協(xié)助滿足報告和文檔要求。此外，ONEKEY 還提供專家建議和咨詢資源，以支持制造商、進口商和分銷商實現(xiàn)CRA合規(guī)性。

具體而言，ONEKEY方案中的產(chǎn)品安全平臺利用專利級的二進制提取技術(shù)使得無需源代碼就能對二進制固件進行更深入和精確的分析。ONEKEY能自動生成詳細的SBOM，包括固件所有級別的軟件依賴關(guān)系，SBOM可以以機器可讀（即CycloneDX、SPDX）或人類可讀格式（CSV、EXCEL）導出，以供其他系統(tǒng)、最終用戶和監(jiān)管機構(gòu)使用。接下來，ONEKEY 使用自然語言處理（NLP）方法來確定是否存在影響此軟件版本的公開已知漏洞。

此外，ONEKEY基于深度學習的方法會自動分析漏洞可利用的先決條件。在集成的自動化影響評估中，如果滿足可利用性的先決條件，則會分析目標設備，從而過濾掉不相關(guān)的漏洞。這種獨特的方法通過顯著減少手動影響評估并允許開發(fā)和產(chǎn)品安全事件響應團隊（PSIRT）來縮短響應時間。對于未被濾掉的漏洞，系統(tǒng)也會每個漏洞都會進行評分，以顯示其與您的產(chǎn)品的相關(guān)性。分數(shù)越高，它影響您的產(chǎn)品的可能性就越大，從而使安全響應團隊能夠有效地確定優(yōu)先級并縮短修復時間。所有證據(jù)都被收集并附加到 CVE 匹配項中，從而易于說明為什么某些問題無關(guān)緊要。

ONEKEY的固件監(jiān)控功能會每日分析目標產(chǎn)品是否存在新的零日漏洞或已知漏洞，并對所有已識別的漏洞自動執(zhí)行基于AI/ML的影響評估。這使制造商能夠在最短的時間內(nèi)對新漏洞做出反應，并創(chuàng)建和分發(fā)安全補丁。對于已經(jīng)修復，需要重新進行漏洞檢測和技術(shù)合規(guī)性檢查的固件版本，ONEKEY產(chǎn)品安全平臺也無需您重新輸入所有信息，只需要上傳新的軟件版本，平臺就會檢測到差異并突出顯示這些差異信息供您查看。

除了通過向CRA要求的流程添加自動化控制來減少手動工作外，ONEKEY還通過差距分析和實施支持幫助具有數(shù)字元素的產(chǎn)品制造商、進口商和分銷商采用CRA要求的流程。ONEKEY的技術(shù)專家和安全研究人員擴展了ONEKEY的自動化功能，確定產(chǎn)品在哪些方面和CRA標準仍有差距，并對受影響的連接設備進行滲透測試和漏洞評估。