艾體寶干貨丨全面解讀CRA：抓住歐盟網(wǎng)絡(luò)安全新規(guī)下的合規(guī)機(jī)遇

隨著歐盟《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act, CRA）的正式實(shí)施，所有帶有數(shù)字元素的產(chǎn)品必須滿足更高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本文全面解析CRA的生效時(shí)間、適用范圍、主要義務(wù)要求，并詳細(xì)介紹如何通過ONEKEY方案高效應(yīng)對(duì)合規(guī)挑戰(zhàn)，實(shí)現(xiàn)供應(yīng)鏈安全與漏洞管理的自動(dòng)化。

歐盟《網(wǎng)絡(luò)彈性法案》（CRA）即將落地，未來在歐盟市場(chǎng)銷售的數(shù)字產(chǎn)品都必須滿足更嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。從制造商到分銷商，每一個(gè)環(huán)節(jié)都將面臨前所未有的合規(guī)挑戰(zhàn)。本文將帶你快速理解CRA的適用范圍與核心義務(wù)，同時(shí)介紹艾體寶的ONEKEY產(chǎn)品安全平臺(tái)，如何助力企業(yè)輕松實(shí)現(xiàn)漏洞管理與SBOM自動(dòng)化，提前布局CRA合規(guī)，占領(lǐng)先機(jī)。

網(wǎng)絡(luò)安全是歐盟面臨的關(guān)鍵挑戰(zhàn)之一。未來幾年，連接設(shè)備的數(shù)量和種類將呈指數(shù)級(jí)增長(zhǎng)。網(wǎng)絡(luò)攻擊不僅對(duì)歐盟經(jīng)濟(jì)產(chǎn)生重大影響，還對(duì)民主、消費(fèi)者安全和健康構(gòu)成威脅。因此，歐盟決定在聯(lián)盟層面解決網(wǎng)絡(luò)韌性問題，并通過制定統(tǒng)一的法律框架來改善內(nèi)部市場(chǎng)的運(yùn)作。

一、網(wǎng)絡(luò)彈性法案概述

網(wǎng)絡(luò)彈性法案（Cyber Resilience Act，下文簡(jiǎn)稱“CRA”）由歐盟網(wǎng)絡(luò)安全局提出，與《高度共同網(wǎng)絡(luò)安全指令》（NIS 2指令）《網(wǎng)絡(luò)安全法》《人工智能法案》和《通用數(shù)據(jù)保護(hù)條例》（GDPR）等有著密切聯(lián)系，并有可能成為最重要的歐盟網(wǎng)絡(luò)安全法律之一。

該法案旨在通過要求制造商實(shí)施和維護(hù)網(wǎng)絡(luò)安全框架，并在產(chǎn)品的整個(gè)生命周期中遵循該框架，從而提高歐盟境內(nèi)所有具有數(shù)字元素的產(chǎn)品的安全級(jí)別。安全屬性透明度的提高也能使消費(fèi)者和企業(yè)能夠做出具有安全意識(shí)的決策，并更安全地使用具有數(shù)字元素的產(chǎn)品。

二、網(wǎng)絡(luò)彈性法案的生效時(shí)間及適用產(chǎn)品范圍

CRA于2024年12月10日正式生效，各項(xiàng)具體義務(wù)的生效時(shí)間如下：

• 合格評(píng)估機(jī)構(gòu)的通知義務(wù)于2026年6月11日生效。
• 制造商的安全事件報(bào)告義務(wù)于2026年9月11日起實(shí)施。
• 其他所有規(guī)定自 2027年12月11日起開始執(zhí)行。

CRA的適用產(chǎn)品包括所有在歐盟市場(chǎng)銷售或提供的、帶有數(shù)字元素且預(yù)期或合理可預(yù)見的用途包括與設(shè)備或網(wǎng)絡(luò)有直接或間接邏輯或物理數(shù)據(jù)連接的硬件或軟件產(chǎn)品，列舉如下：

• 消費(fèi)電子產(chǎn)品：如智能手機(jī)、筆記本電腦、智能手表、智能電視、聯(lián)網(wǎng)家用電器等。
• 物聯(lián)網(wǎng)（IoT）設(shè)備：智能手表、聯(lián)網(wǎng)家電、智能門鎖、智能攝像頭、工業(yè)物聯(lián)網(wǎng)設(shè)備等各種連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備。
• 物網(wǎng)絡(luò)設(shè)備：路由器、調(diào)制解調(diào)器、網(wǎng)絡(luò)交換機(jī)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。
• 軟件產(chǎn)品：包括操作系統(tǒng)、應(yīng)用程序、工業(yè)控制軟件等各種軟件，無論其是獨(dú)立銷售還是與硬件產(chǎn)品捆綁銷售。

CRA不適用的產(chǎn)品范圍主要是其他同等級(jí)歐盟規(guī)則已經(jīng)囊括的產(chǎn)品，列舉如下：

• 醫(yī)療器械：受《醫(yī)療器械法規(guī)（EU）2017/745》和《體外診斷醫(yī)療器械法規(guī)（EU）2017/746》調(diào)整規(guī)范的數(shù)字產(chǎn)品。
• 汽車：受《車輛一般安全條例（EU）2019/2144》規(guī)范的數(shù)字產(chǎn)品。
• 關(guān)鍵或重要實(shí)體的網(wǎng)絡(luò)服務(wù)：當(dāng) SaaS 適用《高度共同網(wǎng)絡(luò)安全指令》（NIS 2 指令）規(guī)定的關(guān)鍵或重要實(shí)體所屬企業(yè)的網(wǎng)絡(luò)安全管理義務(wù)時(shí)，不適用《網(wǎng)絡(luò)彈性法案》。
• 國(guó)家安全或軍事目的：專為國(guó)家安全或軍事目的開發(fā)的數(shù)字產(chǎn)品不在該法案的規(guī)范范圍內(nèi)。

三、網(wǎng)絡(luò)彈性法案的要求

CRA將規(guī)制主體定義為經(jīng)濟(jì)運(yùn)營(yíng)者，包括制造商、授權(quán)代表、進(jìn)口商、分銷商或任何其他須履行該法案規(guī)定義務(wù)的自然人或法人。該法案對(duì)經(jīng)濟(jì)運(yùn)營(yíng)者進(jìn)行了具體劃分，針對(duì)不同類型的主體施加不同的義務(wù)。

1.對(duì)制造商的要求

CRA對(duì)制造商要求嚴(yán)格，制造商需要確保產(chǎn)品符合法案規(guī)定的基本網(wǎng)絡(luò)安全要求，即產(chǎn)品需要具備適當(dāng)?shù)木W(wǎng)絡(luò)安全水平，且沒有可被利用的漏洞。具體義務(wù)內(nèi)容如下：

• 制造商應(yīng)確保產(chǎn)品是按照CRA中規(guī)定的基本網(wǎng)絡(luò)安全要求設(shè)計(jì)、開發(fā)和生產(chǎn)的；產(chǎn)品具備基于風(fēng)險(xiǎn)的適當(dāng)?shù)木W(wǎng)絡(luò)安全水平；產(chǎn)品交付時(shí)沒有任何已知的可利用漏洞。
• 制造商應(yīng)對(duì)其產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并在產(chǎn)品的規(guī)劃、設(shè)計(jì)、開發(fā)、生產(chǎn)、交付和維護(hù)過程中考慮其結(jié)果，從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，防止發(fā)生安全事故并盡量減少其影響，包括對(duì)用戶健康和安全的影響。此外，制造商在集成來自第三方的組件時(shí)必須盡職盡責(zé)，以確保這些組件不會(huì)危及產(chǎn)品的安全性。
• 制造商必須以與性質(zhì)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相稱的方式系統(tǒng)地記錄相關(guān)的網(wǎng)絡(luò)安全事項(xiàng)。
• 產(chǎn)品投放歐盟市場(chǎng)時(shí)，技術(shù)文檔中必須包含網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。
• 制造商必須確保產(chǎn)品的漏洞在預(yù)期的產(chǎn)品生命周期內(nèi)或從投放市場(chǎng)算起的五年內(nèi)（以較短者為準(zhǔn)）得到有效處理。
• 在將產(chǎn)品投放市場(chǎng)之前，制造商必須起草技術(shù)文檔，該文檔必須包含所有相關(guān)數(shù)據(jù)并且必須不斷更新；進(jìn)行產(chǎn)品質(zhì)量評(píng)估；確保產(chǎn)品滿足歐盟符合性聲明，并為產(chǎn)品張貼CE標(biāo)志；產(chǎn)品隨附清晰、易懂、可理解和易讀的信息和說明。
• 制造商需要制定適當(dāng)?shù)恼吆统绦蛞蕴幚砗托迯?fù)潛在的漏洞。
• 制造商負(fù)有報(bào)告義務(wù)。如果產(chǎn)品中包含任何被積極利用的漏洞或任何事件對(duì)產(chǎn)品的安全性產(chǎn)生影響，制造商需要在發(fā)現(xiàn)上述情況后的24小時(shí)內(nèi)，立即向歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)（European Union Agency for Cybersecurity，ENISA）報(bào)告此情況，不得無故拖延。此外，在識(shí)別組件中的漏洞后，制造商需要將漏洞報(bào)告給維護(hù)組件的個(gè)人或?qū)嶓w。

2.對(duì)分銷商和進(jìn)口商的要求

CRA要求分銷商和進(jìn)口商如果發(fā)現(xiàn)數(shù)字產(chǎn)品存在漏洞，應(yīng)立即通知制造商。如果產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，則需要立即通知產(chǎn)品銷售地所在成員國(guó)的市場(chǎng)監(jiān)督機(jī)構(gòu)。具體義務(wù)如下：

• 在將產(chǎn)品投放市場(chǎng)之前，進(jìn)口商必須確保：制造商已進(jìn)行產(chǎn)品質(zhì)量評(píng)估；制造商已起草技術(shù)文件；產(chǎn)品帶有CE標(biāo)志；產(chǎn)品附有清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。
• 進(jìn)口商必須在數(shù)字產(chǎn)品的包裝或產(chǎn)品隨附文件中標(biāo)明其名稱、注冊(cè)商號(hào)或注冊(cè)商標(biāo)、郵政地址和可以聯(lián)系到他們的電子郵件地址。聯(lián)系方式應(yīng)使用用戶和市場(chǎng)監(jiān)督機(jī)構(gòu)易于理解的語言。
• 在數(shù)字產(chǎn)品投放市場(chǎng)后的十年內(nèi)，進(jìn)口商必須保留一份歐盟符合性聲明的副本，以供市場(chǎng)監(jiān)督機(jī)構(gòu)使用。

四、對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的管理

CRA的一個(gè)核心要求是管理供應(yīng)鏈風(fēng)險(xiǎn)。在現(xiàn)代應(yīng)用中，80%-90% 的代碼庫由第三方軟件組件組成，包括開源和專有軟件，這些組件包括用于保護(hù)傳輸中敏感信息的加密庫，以及用于控制互聯(lián)設(shè)備中包含的第三方硬件模塊的閉源 SDK。由于大部分代碼庫不受制造商的直接控制，所以互聯(lián)設(shè)備的風(fēng)險(xiǎn)很大一部分是從第三方軟件組件繼承的。因此，CRA加強(qiáng)了供應(yīng)鏈風(fēng)險(xiǎn)的管控，相關(guān)要求如下：

• 必須確定軟件組件，并且必須維護(hù)軟件物料清單 （SBOM）。
• 必須立即修復(fù)漏洞，并且需要將安全更新分發(fā)給受影響的用戶。
• 必須定期對(duì)產(chǎn)品進(jìn)行安全級(jí)別的測(cè)試和審查。
• 需要對(duì)所有第三方組件進(jìn)行盡職調(diào)查。

五、供應(yīng)鏈風(fēng)險(xiǎn)對(duì)策

為了實(shí)現(xiàn)CRA對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的管控要求，艾體寶提供了ONEKEY方案。ONEKEY方案中的產(chǎn)品安全平臺(tái)隨時(shí)提供自動(dòng)化支持，提供包括漏洞管理、供應(yīng)鏈評(píng)估流程等功能，并協(xié)助滿足報(bào)告和文檔要求。此外，ONEKEY 還提供專家建議和咨詢資源，以支持制造商、進(jìn)口商和分銷商實(shí)現(xiàn)CRA合規(guī)性。

具體而言，ONEKEY方案中的產(chǎn)品安全平臺(tái)利用專利級(jí)的二進(jìn)制提取技術(shù)使得無需源代碼就能對(duì)二進(jìn)制固件進(jìn)行更深入和精確的分析。ONEKEY能自動(dòng)生成詳細(xì)的SBOM，包括固件所有級(jí)別的軟件依賴關(guān)系，SBOM可以以機(jī)器可讀（即CycloneDX、SPDX）或人類可讀格式（CSV、EXCEL）導(dǎo)出，以供其他系統(tǒng)、最終用戶和監(jiān)管機(jī)構(gòu)使用。接下來，ONEKEY 使用自然語言處理（NLP）方法來確定是否存在影響此軟件版本的公開已知漏洞。

此外，ONEKEY基于深度學(xué)習(xí)的方法會(huì)自動(dòng)分析漏洞可利用的先決條件。在集成的自動(dòng)化影響評(píng)估中，如果滿足可利用性的先決條件，則會(huì)分析目標(biāo)設(shè)備，從而過濾掉不相關(guān)的漏洞。這種獨(dú)特的方法通過顯著減少手動(dòng)影響評(píng)估并允許開發(fā)和產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（PSIRT）來縮短響應(yīng)時(shí)間。對(duì)于未被濾掉的漏洞，系統(tǒng)也會(huì)每個(gè)漏洞都會(huì)進(jìn)行評(píng)分，以顯示其與您的產(chǎn)品的相關(guān)性。分?jǐn)?shù)越高，它影響您的產(chǎn)品的可能性就越大，從而使安全響應(yīng)團(tuán)隊(duì)能夠有效地確定優(yōu)先級(jí)并縮短修復(fù)時(shí)間。所有證據(jù)都被收集并附加到 CVE 匹配項(xiàng)中，從而易于說明為什么某些問題無關(guān)緊要。

ONEKEY的固件監(jiān)控功能會(huì)每日分析目標(biāo)產(chǎn)品是否存在新的零日漏洞或已知漏洞，并對(duì)所有已識(shí)別的漏洞自動(dòng)執(zhí)行基于AI/ML的影響評(píng)估。這使制造商能夠在最短的時(shí)間內(nèi)對(duì)新漏洞做出反應(yīng)，并創(chuàng)建和分發(fā)安全補(bǔ)丁。對(duì)于已經(jīng)修復(fù)，需要重新進(jìn)行漏洞檢測(cè)和技術(shù)合規(guī)性檢查的固件版本，ONEKEY產(chǎn)品安全平臺(tái)也無需您重新輸入所有信息，只需要上傳新的軟件版本，平臺(tái)就會(huì)檢測(cè)到差異并突出顯示這些差異信息供您查看。

除了通過向CRA要求的流程添加自動(dòng)化控制來減少手動(dòng)工作外，ONEKEY還通過差距分析和實(shí)施支持幫助具有數(shù)字元素的產(chǎn)品制造商、進(jìn)口商和分銷商采用CRA要求的流程。ONEKEY的技術(shù)專家和安全研究人員擴(kuò)展了ONEKEY的自動(dòng)化功能，確定產(chǎn)品在哪些方面和CRA標(biāo)準(zhǔn)仍有差距，并對(duì)受影響的連接設(shè)備進(jìn)行滲透測(cè)試和漏洞評(píng)估。