国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近日，歐洲議會投票通過了《網絡安全彈性法案（CRA）》，以保護歐盟的所有數字產品免受網絡威脅。其中，物聯網產品(pin)是該法(fa)案(an)(an)適用范圍“數字(zi)產品(pin)”的重(zhong)要組成部(bu)分，未來該法(fa)案(an)(an)實施(shi)后(hou)，物聯網產品(pin)將面臨著新的要求。

筆者近期圍繞海外發達經濟體針對物聯網產品網絡安全出臺的一些法案和政策進行跟蹤研究，包括美國物聯網安全標簽計劃、日本物聯網安全標簽計劃、歐盟《數據法案》、英國《產品安全和電信基礎設施法案》以及新加坡、德國、芬蘭等國開展的物聯網安全標簽計劃，可以看出，對物聯網產品安全采取統一的措施已成為共識，尤其是針對物聯網安全基線形成全國統一規范非常重要。《網絡安(an)全(quan)彈性法(fa)案》作為全(quan)球首(shou)個面(mian)對數字產(chan)品(pin)安(an)全(quan)的專門(men)法(fa)案，其中很多做法(fa)和思路值得參考。

法案適用范圍：物聯網產品是典型

《網絡(luo)安(an)全(quan)彈性法(fa)案》旨在建立整個供應鏈(lian)的(de)基準產(chan)品(pin)安(an)全(quan)法(fa)規，涵蓋從開發到報廢(fei)的(de)產(chan)品(pin)生命周(zhou)期，該法(fa)案將適用于在歐盟(meng)境內銷售的(de)各種軟(ruan)件和互聯產(chan)品(pin)。

法案提出其適用于在(zai)(zai)歐盟市(shi)場(chang)(chang)上銷售(shou)的(de)“帶有(you)數(shu)字(zi)元素(su)的(de)產品(pin)”，這類產品(pin)無(wu)論(lun)原產地在(zai)(zai)哪里，也無(wu)論(lun)該產品(pin)是(shi)否免費提供，只要在(zai)(zai)歐盟市(shi)場(chang)(chang)上，都適用于該法案。

法案對于“帶有數字元素的產品”做了初步解釋，即包括軟件以及與其他設備或網絡直接或間接連接的軟硬件產品。法案提出典型的產品包括獨立軟件以及物聯網產品、操作系統或其他有形設備，如電視、筆記本電腦、嬰兒監視器、智能家居等。

法(fa)(fa)案也提出了一些不(bu)適用的范疇，例(li)如(ru)(ru)，一些網站(zhan)和(he)云(yun)服(fu)務方案（如(ru)(ru)SaaS服(fu)務）如(ru)(ru)果不(bu)支持遠程處(chu)理“帶有數字元素的產品”或不(bu)是這些產品的功能，就不(bu)納入(ru)法(fa)(fa)案的范疇。

當然，法案(an)適用(yong)于支持這些(xie)數字元(yuan)素(su)(su)產品運行(xing)的(de)遠(yuan)程(cheng)數據處理解決(jue)方案(an)，例(li)如物聯網產品的(de)移(yi)動應(ying)用(yong)程(cheng)序(xu)；同(tong)時，法案(an)也適用(yong)于集成到數字元(yuan)素(su)(su)產品中的(de)軟件和硬件組件。

在商業活動之(zhi)外開(kai)發(fa)的(de)(de)開(kai)源軟件不在該(gai)法案的(de)(de)適用范(fan)圍之(zhi)內。法案指出，自由和開(kai)放(fang)源碼的(de)(de)軟件將受到寬松監(jian)管制度的(de)(de)約束。

另外，法案也不適用于某些(xie)已(yi)經有(you)部(bu)門(men)立法的產品(pin)，例如醫(yi)療器械(xie)、機(ji)動車、海事和航空設(she)備(bei)，也不適用于專門(men)為國家安(an)全(quan)或國防開發的數字產品(pin)。

基本網絡安全要求

《網(wang)絡安(an)全(quan)(quan)彈性法案(an)》為制造(zao)商(shang)的數(shu)字產品制定了(le)一套必須遵守(shou)的基(ji)本(ben)安(an)全(quan)(quan)要(yao)求。這些(xie)要(yao)求旨在通過從一開始(shi)就解決(jue)關鍵的安(an)全(quan)(quan)漏(lou)洞來最大(da)限度地降低網(wang)絡安(an)全(quan)(quan)風險。基(ji)本(ben)的安(an)全(quan)(quan)要(yao)求包括：

• 默認安全配置：產品(pin)必(bi)須(xu)帶有(you)默認安全配置(zhi)，允許用戶在必(bi)要時輕松(song)將其重置(zhi)為初始狀態(tai)。

• 防止未經授權的訪問：必須建立適當的控制機制，包括認證(zheng)、身份或訪問管理系統。

• 加密：無論是(shi)在(zai)靜止狀態還是(shi)在(zai)傳(chuan)輸(shu)過程中，產品(pin)存儲、傳(chuan)輸(shu)或(huo)處理的數(shu)據(ju)必須通過加密(mi)進行(xing)保(bao)護(hu)，以保(bao)護(hu)其(qi)機密(mi)性。

• 完整性：產(chan)品存儲、傳輸或處理的(de)數(shu)據以(yi)及(ji)命令、程序和配置(zhi)必(bi)須得(de)到保護，以(yi)防(fang)未經用戶授權的(de)操縱或修改。

• 數據最小化：產品應僅收集(ji)和處理對(dui)(dui)其(qi)預期用(yong)途絕對(dui)(dui)必要的數據，盡量減少處理的個(ge)人(ren)或其(qi)他數據量。

• 有效性：基本功能必(bi)須能夠抵(di)御拒絕(jue)服務攻擊。

• 攻擊面限制：產品應設(she)計有限的(de)攻(gong)擊面，最大限度(du)地(di)減少網絡攻(gong)擊的(de)潛(qian)在切入點。

• 漏洞管理：必須建立機制，以便(bian)能夠及時有效地修補漏洞，應對(dui)新(xin)出現(xian)的網(wang)絡安全(quan)威脅(xie)。

對制造商的要求

法(fa)案(an)提出(chu)制造商必須(xu)開(kai)發、生產和銷售具有與(yu)風險相適應的(de)“基本網絡安全要(yao)(yao)求”的(de)產品。此外，制造商還必須(xu)建立(li)流程和文(wen)件來驗證其產品是(shi)否符合法(fa)案(an)要(yao)(yao)求的(de)。主要(yao)(yao)包(bao)括：

1、產品安全要求

網絡安全風險評估：制造商必須進行(xing)與產品相關的網絡(luo)安(an)全(quan)風(feng)險(xian)評估，且風(feng)險(xian)評估必須在支持期(qi)內更新，并在整個(ge)產品生命周期(qi)中予以(yi)考慮。

漏洞管理：產(chan)品必(bi)須(xu)(xu)在(zai)(zai)沒有已知可利用(yong)漏(lou)洞的(de)情況下在(zai)(zai)市場上提供，若發現漏(lou)洞必(bi)須(xu)(xu)立即(ji)為漏(lou)洞提供安全(quan)更新，并(bing)公開披露補救的(de)漏(lou)洞。安全(quan)更新必(bi)須(xu)(xu)在(zai)(zai)至少10年或支持(chi)期的(de)剩(sheng)余時間(jian)內(nei)保(bao)持(chi)可用(yong)，以較(jiao)長者為準，同(tong)時制造(zao)商必(bi)須(xu)(xu)記錄(lu)其(qi)了解到的(de)相關(guan)產(chan)品漏(lou)洞。

支持期限：支持期(qi)應(ying)符合預期(qi)使用時間(jian)，但必須至少為(wei)五年。用戶在購買(mai)時必須能夠明確(que)了解支持期(qi)的(de)結束(shu)時間(jian)，包括月份(fen)和年份(fen)。

軟件材料清單：制造商必須確(que)定并記(ji)錄產(chan)品組件和漏(lou)洞，包括起草至(zhi)少(shao)包含(han)產(chan)品主要依賴項的軟(ruan)件材(cai)料清單(dan)。

測試：制造商必須定期測(ce)試產品安全性。

漏洞報告：制造商(shang)必(bi)須在24小(xiao)時內向其(qi)指定的歐盟成(cheng)員國計(ji)算機安(an)全事故(gu)響應(ying)小(xiao)組（CISRT）報告(gao)任何(he)被惡意(yi)行為者利用(yong)的產品(pin)漏洞(dong)。然后，制造商(shang)必(bi)須在72小(xiao)時內提交(jiao)一份總(zong)體(ti)跟進報告(gao)，并在緩解措施出臺后14天內提交(jiao)一份詳細報告(gao)。除特殊情況外(wai)，這些漏洞(dong)報告(gao)將(jiang)轉(zhuan)發給(gei)產品(pin)上市所在成(cheng)員國的其(qi)他安(an)全事故(gu)響應(ying)小(xiao)組和市場監管(guan)機構。同時，制造商(shang)還必(bi)須將(jiang)事故(gu)通(tong)知(zhi)其(qi)用(yong)戶(hu)。

協同漏洞披露：制造商必須(xu)建立(li)協調的(de)漏(lou)洞(dong)披露政策，并為第三(san)方(fang)提供聯系(xi)地址以報(bao)告產(chan)品中的(de)漏(lou)洞(dong)。當制造商發現產(chan)品軟(ruan)件或硬件組件中的(de)漏(lou)洞(dong)時，必須(xu)向負責該(gai)組件的(de)一方(fang)報(bao)告漏(lou)洞(dong)。

2、證明產品一致性

技術文檔：制造(zao)商必須創建和維護(hu)技(ji)術文(wen)件(jian)，以證(zheng)明(ming)其產(chan)品(pin)符(fu)合法案的基本安(an)全要求。技(ji)術文(wen)檔(dang)必須在產(chan)品(pin)投放市場之前完成，并應在產(chan)品(pin)支持期間不斷更(geng)新。

符合性評估：在將產品(pin)投放市場之前，制造商必須對(dui)產品(pin)進行(xing)符(fu)合性評估，以(yi)確保(bao)符(fu)合安全(quan)要求。法案對(dui)產品(pin)安全(quan)做了(le)分級，主要包括：

• 未分類(lei)或默認級別：這一大(da)類(lei)包括大(da)多數(shu)帶有數(shu)字元素的產品，制(zhi)造商可以自我(wo)評(ping)估是(shi)否符合安全(quan)要求。

• 第一(yi)(yi)類和(he)第二類（Classes I and II）：該(gai)級(ji)別被(bei)認(ren)為是“重要”的數字產品(pin)，這些產品(pin)必須經(jing)過(guo)第三方(fang)合格評估，它們(men)可(ke)以適用統(tong)一(yi)(yi)標準(zhun)或(huo)統(tong)一(yi)(yi)網絡安全認(ren)證計劃(hua)。第一(yi)(yi)類和(he)第二類產品(pin)具有網絡安全相關功能，如果被(bei)破(po)壞，其功能會帶(dai)來重大負面(mian)影響風(feng)險。

• “關鍵”的(de)數字產(chan)品：該類(lei)別包括被認為是基本服務關鍵依賴項(xiang)的(de)產(chan)品，如智能卡或具有安(an)全元件的(de)類(lei)似設備、智能計量系統(tong)以及用于高(gao)級安(an)全目的(de)的(de)其他設備。

數字產品(pin)(pin)完成符合性評估(gu)后，制(zhi)(zhi)造商必(bi)須起(qi)草一份符合性聲明(ming)以(yi)補充技術文件，并將這些(xie)記錄保(bao)存(cun)十年或支持期內（以(yi)較長者(zhe)為準）。此外(wai)，數字產品(pin)(pin)必(bi)須具有CE標(biao)(biao)志，以(yi)表(biao)明(ming)產品(pin)(pin)在進入市(shi)場之前符合法案標(biao)(biao)準。這一要求可以(yi)視作強制(zhi)(zhi)性的安(an)全標(biao)(biao)簽計劃。

同時，法案還(huan)對進口商(shang)和(he)分(fen)銷商(shang)提出相關要求，例如包(bao)括對制造(zao)商(shang)的產(chan)品進行盡職調查(cha)、發現漏洞后及(ji)時通知制造(zao)商(shang)、向歐洲當局告知重大風(feng)險、保(bao)留記錄(lu)以及(ji)售后責(ze)任(ren)等。

對不合規行為的處罰

法案規定，對于未能遵守法案中提出的漏(lou)洞(dong)報告、網絡事(shi)件(jian)報告或(huo)基本網絡安全要(yao)求(qiu)的公司，可能面臨高達1500萬歐元或(huo)其全球營業額2.5%的行政(zheng)罰款，以較高者為準。

未能遵守多項其他義務的(de)公司，可能會被處以最高1000萬歐元的(de)行政罰款，或其全球營業額的(de)2%，以較高者為準。

同時，那(nei)些向執法(fa)機構或(huo)國家(jia)網絡(luo)事件(jian)響應(ying)小(xiao)組提供誤導性信息可能導致500萬歐元的罰款，或(huo)全球營業額的1%，以較(jiao)高(gao)者為準。

在某些情況下，歐(ou)盟成員國(guo)當局可(ke)以要求(qiu)廠(chang)商(shang)從歐(ou)盟市場召回(hui)或(huo)撤出不合規產(chan)品。

《網(wang)絡(luo)(luo)安(an)(an)全彈性(xing)法(fa)案(an)》實施(shi)日期之前，歐盟將(jiang)制定統一(yi)標準，以更好(hao)地幫助(zhu)制造(zao)商(shang)進(jin)行一(yi)致性(xing)評估。一(yi)旦生效，制造(zao)商(shang)、進(jin)口(kou)(kou)商(shang)和(he)分銷商(shang)將(jiang)有三年(nian)時間(jian)適應新(xin)要求。中國是物聯網(wang)產品的生產和(he)出口(kou)(kou)大(da)國，大(da)量數字(zi)產品出口(kou)(kou)歐洲，相(xiang)關(guan)生產廠商(shang)需要高度(du)重視，提前學習《網(wang)絡(luo)(luo)安(an)(an)全彈性(xing)法(fa)案(an)》相(xiang)關(guan)內容，做好(hao)應對。