国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近日，歐洲議會投票通過了《網絡安全彈性法案（CRA）》，以保護歐盟的所有數字產品免受網絡威脅。其中，物聯網產(chan)品(pin)是(shi)該法案(an)適用范圍“數字產(chan)品(pin)”的(de)重要組成部分(fen)，未(wei)來(lai)該法案(an)實(shi)施后(hou)，物聯(lian)網產(chan)品(pin)將面臨著新(xin)的(de)要求。

筆者近期圍繞海外發達經濟體針對物聯網產品網絡安全出臺的一些法案和政策進行跟蹤研究，包括美國物聯網安全標簽計劃、日本物聯網安全標簽計劃、歐盟《數據法案》、英國《產品安全和電信基礎設施法案》以及新加坡、德國、芬蘭等國開展的物聯網安全標簽計劃，可以看出，對物聯網產品安全采取統一的措施已成為共識，尤其是針對物聯網安全基線形成全國統一規范非常重要。《網絡安全彈性法案》作為全球(qiu)首個面(mian)對數字產品安全的專門(men)法案，其中很多做(zuo)法和思路值(zhi)得參考。

法案適用范圍：物聯網產品是典型

《網絡安全(quan)(quan)彈性法案》旨在(zai)建立整個供(gong)應鏈的(de)基準產品(pin)安全(quan)(quan)法規，涵(han)蓋從開發到報(bao)廢的(de)產品(pin)生命周期，該法案將適用于在(zai)歐(ou)盟(meng)境(jing)內銷售的(de)各(ge)種(zhong)軟件和互(hu)聯產品(pin)。

法案提出(chu)其適用于(yu)在(zai)歐(ou)盟(meng)市(shi)場(chang)上(shang)銷售的“帶(dai)有數字元素的產(chan)品”，這類產(chan)品無論原產(chan)地在(zai)哪里，也無論該產(chan)品是否免(mian)費提供，只要在(zai)歐(ou)盟(meng)市(shi)場(chang)上(shang)，都適用于(yu)該法案。

法案對于“帶有數字元素的產品”做了初步解釋，即包括軟件以及與其他設備或網絡直接或間接連接的軟硬件產品。法案提出典型的產品包括獨立軟件以及物聯網產品、操作系統或其他有形設備，如電視、筆記本電腦、嬰兒監視器、智能家居等。

法案(an)也提出(chu)了一些(xie)不(bu)適用(yong)的(de)范疇(chou)，例如(ru)，一些(xie)網站和云服務方案(an)（如(ru)SaaS服務）如(ru)果(guo)不(bu)支持遠程(cheng)處理“帶有數字元素的(de)產品(pin)”或不(bu)是這些(xie)產品(pin)的(de)功能，就(jiu)不(bu)納入(ru)法案(an)的(de)范疇(chou)。

當然(ran)，法案(an)適用(yong)(yong)于支持這些(xie)數(shu)字元素產(chan)品運行的(de)遠程(cheng)數(shu)據處理解(jie)決(jue)方案(an)，例如物聯網產(chan)品的(de)移(yi)動應用(yong)(yong)程(cheng)序；同時，法案(an)也適用(yong)(yong)于集成到數(shu)字元素產(chan)品中的(de)軟件和(he)硬件組件。

在商業活動(dong)之外開發的開源軟(ruan)件(jian)不(bu)在該法案的適用范(fan)圍(wei)之內。法案指出，自由和開放源碼的軟(ruan)件(jian)將受到寬松監管制度的約束。

另外(wai)，法案也不適(shi)用于(yu)某些已(yi)經有部門立(li)法的產(chan)品，例如醫療器械、機(ji)動車、海事和航(hang)空設備，也不適(shi)用于(yu)專門為國家(jia)安全或國防開發的數字產(chan)品。

基本網絡安全要求

《網(wang)絡(luo)安(an)(an)(an)全彈性(xing)法(fa)案》為制造商的(de)數字產品制定了(le)一套必須(xu)遵守的(de)基(ji)本安(an)(an)(an)全要(yao)(yao)求。這些要(yao)(yao)求旨在通過從一開始就解決關鍵的(de)安(an)(an)(an)全漏(lou)洞來最大限度地(di)降(jiang)低網(wang)絡(luo)安(an)(an)(an)全風(feng)險。基(ji)本的(de)安(an)(an)(an)全要(yao)(yao)求包(bao)括(kuo)：

• 默認安全配置：產品必須帶有默認(ren)安全配置(zhi)，允許用戶(hu)在必要時輕(qing)松將其重置(zhi)為(wei)初始(shi)狀態。

• 防止未經授權的訪問：必須建立適(shi)當的控制機制，包括(kuo)認證、身份(fen)或訪問管理系統。

• 加密：無論是(shi)在靜止(zhi)狀態還是(shi)在傳輸(shu)過程中(zhong)，產品存儲、傳輸(shu)或處理的數(shu)據(ju)必須通過加(jia)密進行保護，以(yi)保護其機密性(xing)。

• 完整性：產品存(cun)儲(chu)、傳輸(shu)或(huo)(huo)處理(li)的數據以及命令、程序和配置必須(xu)得(de)到保護，以防未經(jing)用(yong)戶授權的操縱或(huo)(huo)修改。

• 數據最小化：產品(pin)應僅收(shou)集(ji)和處(chu)理(li)對其(qi)預期用途絕對必要的數據(ju)(ju)，盡量(liang)減少處(chu)理(li)的個(ge)人或其(qi)他數據(ju)(ju)量(liang)。

• 有效性：基本功能必須能夠(gou)抵(di)御拒絕服務(wu)攻擊。

• 攻擊面限制：產品應設計(ji)有限的攻(gong)擊(ji)面，最(zui)大限度地(di)減(jian)少網絡攻(gong)擊(ji)的潛在切(qie)入點。

• 漏洞管理：必須(xu)建立(li)機制，以便能夠及時有效地修補(bu)漏洞(dong)，應對新出現的網絡安全威脅。

對制造商的要求

法(fa)案(an)提(ti)出制造(zao)商必須開發(fa)、生(sheng)產和(he)銷售具有與風(feng)險相(xiang)適應的“基本網絡安全要(yao)求”的產品。此外(wai)，制造(zao)商還(huan)必須建立流程和(he)文(wen)件來驗(yan)證(zheng)其(qi)產品是(shi)否符合(he)法(fa)案(an)要(yao)求的。主要(yao)包括：

1、產品安全要求

網絡安全風險評估：制造商(shang)必須進行與產品相關的網絡安全風險(xian)評(ping)估(gu)，且風險(xian)評(ping)估(gu)必須在支持(chi)期內更新(xin)，并在整個產品生命周期中(zhong)予以考慮。

漏洞管理：產品必(bi)須在(zai)沒(mei)有已知(zhi)可利用漏(lou)(lou)洞(dong)的(de)(de)情(qing)況(kuang)下在(zai)市場(chang)上提(ti)供(gong)，若發現(xian)漏(lou)(lou)洞(dong)必(bi)須立即(ji)為漏(lou)(lou)洞(dong)提(ti)供(gong)安全(quan)更(geng)新，并公開披露補救的(de)(de)漏(lou)(lou)洞(dong)。安全(quan)更(geng)新必(bi)須在(zai)至少(shao)10年或支持期的(de)(de)剩余時間內(nei)保持可用，以較長者(zhe)為準(zhun)，同時制造商必(bi)須記錄(lu)其了解到(dao)的(de)(de)相關產品漏(lou)(lou)洞(dong)。

支持期限：支持(chi)期應符(fu)合預(yu)期使(shi)用(yong)時間(jian)，但(dan)必須至少為五年(nian)。用(yong)戶在購買時必須能夠明確了解支持(chi)期的結束時間(jian)，包(bao)括月份和(he)年(nian)份。

軟件材料清單：制(zhi)造(zao)商(shang)必(bi)須確定(ding)并(bing)記錄產品組件(jian)和漏洞，包括(kuo)起(qi)草至少包含產品主要依(yi)賴項的軟(ruan)件(jian)材料清單。

測試：制造商必須定(ding)期測試(shi)產品(pin)安全性(xing)。

漏洞報告：制造商必須在(zai)24小(xiao)時(shi)內向其指定的(de)歐盟成員國計算機安全事故(gu)響應小(xiao)組（CISRT）報告(gao)任何被惡意行(xing)為者利用的(de)產品漏洞。然后(hou)，制造商必須在(zai)72小(xiao)時(shi)內提交(jiao)一份總體跟進報告(gao)，并(bing)在(zai)緩解措施出(chu)臺后(hou)14天內提交(jiao)一份詳細報告(gao)。除(chu)特殊情況外，這(zhe)些漏洞報告(gao)將轉發給產品上市所在(zai)成員國的(de)其他安全事故(gu)響應小(xiao)組和市場(chang)監管機構。同時(shi)，制造商還(huan)必須將事故(gu)通知其用戶。

協同漏洞披露：制(zhi)造商必(bi)須建立協調(diao)的(de)漏洞(dong)披露政策(ce)，并為第三方提供(gong)聯系地址以報告(gao)產品中的(de)漏洞(dong)。當制(zhi)造商發現產品軟件或硬件組件中的(de)漏洞(dong)時，必(bi)須向負責該組件的(de)一方報告(gao)漏洞(dong)。

2、證明產品一致性

技術文檔：制造商必須創建和(he)維護技術(shu)文件，以證明其產(chan)品符合法案的基(ji)本安全要求。技術(shu)文檔必須在產(chan)品投(tou)放市場之前完成，并應在產(chan)品支持期(qi)間(jian)不斷更新(xin)。

符合性評估：在將產品投放市(shi)場之前，制造商必須(xu)對(dui)產品進行符合性評(ping)估，以確保符合安全要求。法案對(dui)產品安全做(zuo)了(le)分級(ji)，主要包括：

• 未分類或默認級別：這(zhe)一(yi)大類包括大多(duo)數(shu)帶有數(shu)字元素的產品(pin)，制造商可以自我評估是否符(fu)合安(an)全要求。

• 第一類和第二(er)類（Classes I and II）：該(gai)級別(bie)被(bei)認為是“重要”的數字產(chan)品(pin)，這些產(chan)品(pin)必須經過第三方(fang)合格評估，它(ta)們可以(yi)適用統(tong)(tong)一標(biao)準或統(tong)(tong)一網絡安全認證計劃(hua)。第一類和第二(er)類產(chan)品(pin)具有網絡安全相關功能(neng)，如(ru)果被(bei)破壞，其功能(neng)會帶來重大負面影響風險。

• “關(guan)鍵(jian)”的(de)數字產品：該類別包(bao)括(kuo)被認為(wei)是基本服(fu)務(wu)關(guan)鍵(jian)依賴項的(de)產品，如智(zhi)能卡或(huo)具有安全(quan)元件的(de)類似設(she)備、智(zhi)能計(ji)量(liang)系統以及用于(yu)高級安全(quan)目的(de)的(de)其他設(she)備。

數(shu)字產品完成符合(he)(he)性(xing)評估后(hou)，制造商必(bi)須起草(cao)一份符合(he)(he)性(xing)聲(sheng)明(ming)以補充技術文件，并(bing)將這些記錄保存十年(nian)或支持期內(nei)（以較長者為準）。此外，數(shu)字產品必(bi)須具有(you)CE標(biao)志，以表明(ming)產品在進入市場(chang)之前(qian)符合(he)(he)法案標(biao)準。這一要(yao)求(qiu)可以視作強制性(xing)的安全標(biao)簽計劃(hua)。

同時，法(fa)案還對進口商和分銷(xiao)商提出相(xiang)關要(yao)求，例如(ru)包(bao)括(kuo)對制造商的產品進行盡(jin)職(zhi)調(diao)查、發現漏洞后(hou)及(ji)(ji)時通(tong)知(zhi)制造商、向歐洲當局告知(zhi)重大風險(xian)、保留(liu)記錄以及(ji)(ji)售后(hou)責任等。

對不合規行為的處罰

法(fa)案(an)規定(ding)，對于未能(neng)遵守(shou)法(fa)案(an)中(zhong)提(ti)出(chu)的(de)漏洞報(bao)告、網(wang)絡事件報(bao)告或(huo)基本(ben)網(wang)絡安全要求的(de)公(gong)司，可能(neng)面臨高(gao)達1500萬歐元或(huo)其全球營業(ye)額(e)2.5%的(de)行(xing)政罰款，以較高(gao)者為準。

未能遵(zun)守多項其他(ta)義務(wu)的公司，可能會被處(chu)以最高(gao)1000萬歐元的行政罰款，或其全球營(ying)業額的2%，以較高(gao)者為準。

同時，那些向(xiang)執法機構或國家(jia)網絡事件響(xiang)應(ying)小組提供誤導性信息可(ke)能導致500萬(wan)歐元(yuan)的罰款，或全球(qiu)營(ying)業額的1%，以較(jiao)高者為準。

在(zai)某(mou)些情況下，歐(ou)盟(meng)成(cheng)員國(guo)當(dang)局可以要求廠商從歐(ou)盟(meng)市場召回或撤(che)出不合規產品。

《網(wang)絡安全彈(dan)性法案》實施日(ri)期之前(qian)，歐(ou)盟將(jiang)制(zhi)定(ding)統一標準，以(yi)更好地幫助制(zhi)造(zao)商(shang)進行一致(zhi)性評估。一旦生(sheng)效，制(zhi)造(zao)商(shang)、進口商(shang)和(he)分銷商(shang)將(jiang)有三年時間適應新要(yao)求。中國是物聯網(wang)產品的生(sheng)產和(he)出口大(da)國，大(da)量數字產品出口歐(ou)洲，相關(guan)生(sheng)產廠商(shang)需(xu)要(yao)高度(du)重(zhong)視，提前(qian)學習《網(wang)絡安全彈(dan)性法案》相關(guan)內容，做好應對(dui)。