自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录

《网络韧性法案》(CRA)

引领前行:我们承诺严格遵循 CRA 要求

我们的 CRA 合规承诺

Moxa 深耕工业领域超过 35 年,持续为全球最关键、最严苛的工业环境打造专属解决方案。早在《网络韧性法案》(CRA) 出台前,我们就坚持推行网络安全实践,也是全球首批获工业网络安全 IEC 62443-4-1 标准认证的行业领先提供商之一。这些过往经验和成就表明,我们对产品安全、可靠、韧性的追求始终源于内在要求,而非被动应对新的法规。

Systemic Security
系统性安全

Moxa 通过 IEC 62443-4-1 认证的安全开发生命周期符合 CRA 要求。

Verified Trust
值得信任的经验

为客户持续提供妥善的安全更新和漏洞管理。

Futureproofed Solutions
面向未来的解决方案

主动遵循法规要求,与不断更新的欧盟标准保持一致。

我们对《网络韧性法案》的战略认知

欧盟第 2024/2847 号法规《网络韧性法案》(CRA) 是具有里程碑意义的欧盟法规,针对进入欧盟市场的含数字元素的产品 (PwDE) 设定了横向网络安全要求。当前,全球范围内普遍要求此类产品必须达到网络安全标准。

如图所示,产品要想获得进入欧盟市场所需的 CE 标识,必须遵循《网络韧性法案》要求。

迅速了解 CRA

CRA 为含数字元素的产品 (PwDE) 确立了明晰的横向网络安全要求,覆盖产品全生命周期。制造商必须遵从这些安全要求才能获得 CE 认证标识,否则产品无法进入欧盟市场。

简而言之,CRA 主要目标概括如下:

  • 增强欧洲数字市场韧性。​
  • 提升用户网络安全知情权。​
  • 减少 PwDE 产品的安全漏洞。​​
流程图展示了《网络韧性法案》 的核心网络安全要求,分为四大支柱:安全设计、开发生命周期安全、漏洞管理、合规文档透明。

深度解读 CRA 要求

附件一所示网络安全基本要求:

A.产品属性基本要求(第 1 部分):从设计流程到生产环节,制造商须针对已知风险给予产品充分网络安全保护。关键要求包括安全设计/默认安全和访问控制。

B.漏洞处理基本要求(第 2 部分):制造商须保证在产品支持期即产品预期使用寿命内,有效处理安全漏洞。

《网络韧性法案》时间线显示三个关键日期:2024 年 12 月 10 日–法规生效;2026 年 9 月 11 日–强制提交安全漏洞报告; 2027 年 12 月 11 日–全面达到 CRA 要求。

CRA 时间线和关键期限

CRA 正在分阶段施行,为制造商预留足够调整时间。自 2024 年 12 月 10 日起,该法规正式生效,开启为期数年的分步实施进程。2026 年 9 月 11 日是关键阶段性期限,届时必须提交安全漏洞报告。另一重要合规期限是 2027 年 12 月 11 日,届时进入欧盟市场的所有 PwDE 产品 必须全面达到 CRA 要求。

依托 OT 专业知识和“安全始于设计”实践,筑牢 CRA 合规根基

我们整合 IEC 62443 框架等现有技术资源,构建多支柱支撑的坚实基础,满足 CRA 基本安全要求。

图片中一个法官审判槌和两本法典置于电路板之上,象征着欧盟《网络韧性法案》这一法律框架。发光的安全盾凸显了该项法案及相关协调标准对保护数字产品的重要作用。

借力国际标准

Moxa 深知实现合规的最佳途径是利用国际公认的框架。Moxa 战略以《网络韧性法案》(CRA) 基本要求和欧洲协调标准为基础。
•    遵循 IEC 62443 标准: 安全开发流程和功能规格遵循 IEC 62443-4-1 和 4-2 标准,符合基本安全要求。
•    响应协调标准要求: 积极响应欧洲标准化组织 (CEN/CENELEC/ETSI) 要求,采用通用网络韧性横向标准和特定产品纵向标准。

环形图展示了 Moxa 安全开发生命周期的完整过程。这是一个由核心阶段、持续改进举措和安全更新管理构成的循环。

实施安全生命周期管理

通过不依赖特定流程、以风险为导向的方法,确保“安全始于设计”理念贯穿产品全生命周期。
•    持续评估: 产品在规划、设计、生产、维护等各环节均进行网络安全风险评估并保存相关记录。
•    供应链安全: 在集成第三方及开源组件时严格执行尽职调查,防范安全威胁。
•    可持续支持: 建立安全更新机制,在规定支持期内及时为用户提供安全更新。

流程图显示, Moxa 产品安全事件响应团队 (PSIRT) 与安全研究员、政府计算机应急响应组织及客户共享漏洞信息。

快速处理安全漏洞

为满足 CRA 关于快速事件报告的要求,已专门成立产品安全事件响应团队 (PSIRT),着力解决工业设备长期现实问题。
•    全球标准框架: 产品运行遵循 ISO 29147(漏洞披露)和 ISO 30111(漏洞处理)标准,与 CRA 采用的参考框架一致。
•    协同响应: 通过 FIRST 服务框架,可靠处理报告的漏洞并发布安全公告。
•    长期聚焦: 在 Moxa 流程支持下,工业设备有望安全运行数十年。

带有 Moxa 标志的安全盾环绕着三大核心安全功能:安全默认设置、强大的身份验证机制、及时补丁部署与管理工具。

安全的控制措施与文件记录

保存完备且经得起审查的安全状态记录,同时确保产品功能帮助客户实现系统安全运行。
•    用户透明度: 产品明确标注预期用途、支持截止日期、漏洞报告联系方式等信息。
•    内置防御机制: 设备具备强大的授权认证机制、安全默认配置功能、及时补丁部署工具等。

FAQ(常见问题)

欧盟《网络韧性法案》(CRA) 是一项欧盟法规,针对所有在欧盟市场所售含数字元素的产品(包括硬件和软件)设定了强制性网络安全要求,旨在确保此类产品在全生命周期内始终保持高水平安全性。

CRA 适用于所有含数字元素的产品,包括智能手机、IoT 设备、路由器等联网硬件和操作系统、应用程序、软件库等软件。只要产品能直接或间接连接至某一设备或网络,即属于该法规覆盖范围,但不包括已受其他法规监管的部分产品,如医疗器械、汽车、出于非商业目的开发的开源软件等。Moxa 工业通信设备产品组合属于 CRA 监管范畴,涵盖工业安全路由器、以太网交换机、串口设备联网服务器、网络管理软件等关键类别。

在产品进入欧盟市场前,制造商必须进行网络安全风险评估,确保产品满足基本网络安全要求,并在产品全生命周期内提供安全更新和漏洞处理服务。制造商还须准备技术文件,进行符合性评估,加贴 CE 标识,以及向有关部门报告被利用的漏洞或严重事件。

CRA 协调标准是由公认的欧洲标准化组织 (ESO)(CEN、CENELEC 和 ETSI)根据欧盟委员会的要求专门制定的欧洲标准。这些标准对《网络韧性法案》(CRA) 顺利实施至关重要,因为它们将 CRA 基本网络安全要求细化为具体的技术规范。基于现有国际和欧洲标准的标准化工作正有序推进。横向标准预计将于 2026 年 8 月发布,纵向标准预计将于同年 10 月出台。(资料来源:www.cencenelec.eu)

制造商须自 2026 年 9 月 11 日起报告漏洞和事件,上市前合规等所有其他 CRA 要求将于 2027 年 12 月 11 日正式生效。

企业若未遵守 CRA 要求,可能会遭受重罚。对于最严重的违规行为,罚金可能高达 1,500 万欧元或涉事企业全球年度总营收的 2.5%,两者取较高金额。对于其他违规行为,罚款金额较少。

CRA 和 NIS2 指令都旨在提高欧洲网络安全水平,但二者的侧重点各异。NIS2 指令强调保障关键基础设施和重要服务提供商的网络和信息系统安全。CRA 则侧重于确保数字产品自身安全,要求从设计环节起就将安全性纳入考量。

软件物料清单 (SBOM) 类似软件成分表,详细列出软件产品中使用的全部组件和库。CRA 要求制造商创建 SBOM 以便处理漏洞,但目前尚未强制要求公开清单。完整的 SBOM 须按要求提交指定机构和市场监管部门,以促进法规执行。

相关资源

白皮书

遵循 ISA/IEC 62443 标准,增强网络安全韧性

白皮书

保障工业网络安全:符合 IEC 62443 标准的三大架构策略
 
 
添加至询价

查看询价