国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

近日，歐洲議會投票通過了《網絡安全彈性法案（CRA）》，以保護歐盟的所有數字產品免受網絡威脅。其中，物聯網產(chan)品(pin)(pin)是該法(fa)案適用范圍(wei)“數字產(chan)品(pin)(pin)”的(de)重要組成部分，未來(lai)該法(fa)案實(shi)施后(hou)，物聯網產(chan)品(pin)(pin)將面臨(lin)著新的(de)要求。

筆者近期圍繞海外發達經濟體針對物聯網產品網絡安全出臺的一些法案和政策進行跟蹤研究，包括美國物聯網安全標簽計劃、日本物聯網安全標簽計劃、歐盟《數據法案》、英國《產品安全和電信基礎設施法案》以及新加坡、德國、芬蘭等國開展的物聯網安全標簽計劃，可以看出，對物聯網產品安全采取統一的措施已成為共識，尤其是針對物聯網安全基線形成全國統一規范非常重要。《網絡安全(quan)彈性(xing)法(fa)案》作為全(quan)球首個面對數字產品(pin)安全(quan)的(de)專門(men)法(fa)案，其中(zhong)很多做法(fa)和(he)思(si)路值得參考。

法案適用范圍：物聯網產品是典型

《網絡安(an)全彈性法(fa)案》旨在建(jian)立整個(ge)供應鏈(lian)的基(ji)準產(chan)品安(an)全法(fa)規，涵(han)蓋(gai)從開(kai)發到報廢的產(chan)品生(sheng)命周期，該法(fa)案將適用于在歐盟境內銷售的各種軟件和互聯產(chan)品。

法(fa)案(an)提出其適用于在(zai)歐盟市場(chang)上銷售的“帶有數字元素的產品”，這類(lei)產品無論(lun)原(yuan)產地在(zai)哪里，也(ye)無論(lun)該產品是否(fou)免費提供，只要在(zai)歐盟市場(chang)上，都適用于該法(fa)案(an)。

法案對于“帶有數字元素的產品”做了初步解釋，即包括軟件以及與其他設備或網絡直接或間接連接的軟硬件產品。法案提出典型的產品包括獨立軟件以及物聯網產品、操作系統或其他有形設備，如電視、筆記本電腦、嬰兒監視器、智能家居等。

法案也(ye)提出了一些不適(shi)用(yong)的(de)(de)范(fan)疇(chou)，例如(ru)(ru)，一些網站和云服務(wu)方案（如(ru)(ru)SaaS服務(wu)）如(ru)(ru)果不支持(chi)遠程(cheng)處理“帶有數字元素的(de)(de)產品”或不是這些產品的(de)(de)功能，就不納入法案的(de)(de)范(fan)疇(chou)。

當然，法案(an)適用(yong)于支持(chi)這些數(shu)字元(yuan)素(su)產品運行的遠程(cheng)數(shu)據處理解決方案(an)，例如物(wu)聯網產品的移動(dong)應用(yong)程(cheng)序；同時(shi)，法案(an)也適用(yong)于集成到數(shu)字元(yuan)素(su)產品中的軟件(jian)和(he)硬件(jian)組(zu)件(jian)。

在商(shang)業活(huo)動之(zhi)外開發的開源(yuan)軟件(jian)不(bu)在該(gai)法案的適用范圍之(zhi)內。法案指(zhi)出，自(zi)由和開放源(yuan)碼的軟件(jian)將受到寬松(song)監管制(zhi)度的約束。

另外，法(fa)案也不適用于某(mou)些(xie)已經有部(bu)門立法(fa)的(de)(de)產(chan)品，例如醫(yi)療器械、機動車、海事(shi)和航空設(she)備，也不適用于專門為國(guo)家安全(quan)或國(guo)防(fang)開發的(de)(de)數字產(chan)品。

基本網絡安全要求

《網(wang)絡安(an)全(quan)(quan)彈(dan)性法案》為(wei)制(zhi)(zhi)造商的數字產(chan)品制(zhi)(zhi)定了一(yi)套必須遵(zun)守的基(ji)本安(an)全(quan)(quan)要(yao)求(qiu)。這些要(yao)求(qiu)旨在通過從一(yi)開始(shi)就解決關鍵(jian)的安(an)全(quan)(quan)漏(lou)洞來最大限(xian)度(du)地降低(di)網(wang)絡安(an)全(quan)(quan)風險。基(ji)本的安(an)全(quan)(quan)要(yao)求(qiu)包括：

• 默認安全配置：產品必須帶有(you)默認安全(quan)配置，允許用戶在必要時輕松將其(qi)重置為初始狀態。

• 防止未經授權的訪問：必須建立(li)適當的(de)控(kong)制機制，包括(kuo)認(ren)證、身份或訪問管理系統(tong)。

• 加密：無論是在靜止狀態還是在傳(chuan)輸過(guo)程中，產品(pin)存儲、傳(chuan)輸或(huo)處理的數據(ju)必須通過(guo)加密(mi)進(jin)行保(bao)護(hu)，以保(bao)護(hu)其(qi)機密(mi)性。

• 完整性：產品存儲(chu)、傳(chuan)輸或處理的數據以(yi)及命令、程序(xu)和(he)配置(zhi)必須得(de)到保(bao)護(hu)，以(yi)防(fang)未(wei)經用(yong)戶(hu)授權的操縱或修改。

• 數據最小化：產(chan)品(pin)應(ying)僅收集和處理(li)對其預期用途絕對必要(yao)的(de)數(shu)(shu)據，盡量減少(shao)處理(li)的(de)個人或其他數(shu)(shu)據量。

• 有效性：基本功能必須能夠抵御拒絕服(fu)務攻(gong)擊。

• 攻擊面限制：產品應設計有限(xian)的攻(gong)擊(ji)面，最大限(xian)度(du)地(di)減少網(wang)絡(luo)攻(gong)擊(ji)的潛在切入點。

• 漏洞管理：必須(xu)建立機制，以便能夠及時有效地修補漏洞，應對新出現(xian)的網絡安全威脅。

對制造商的要求

法案提出(chu)制造(zao)商必須開發(fa)、生產(chan)和銷售(shou)具有與風險相適應的(de)“基(ji)本網絡安全要求”的(de)產(chan)品。此(ci)外，制造(zao)商還(huan)必須建立流程和文(wen)件來驗(yan)證其產(chan)品是否符(fu)合(he)法案要求的(de)。主要包括：

1、產品安全要求

網絡安全風險評估：制造商(shang)必須(xu)進行與產品(pin)相關的(de)網絡(luo)安全風(feng)險評(ping)估，且風(feng)險評(ping)估必須(xu)在支持期內更新，并在整個(ge)產品(pin)生命(ming)周期中予以考慮。

漏洞管理：產(chan)品(pin)必(bi)(bi)須(xu)在沒有已知可(ke)利用(yong)漏(lou)洞(dong)的(de)情況下在市場上提(ti)供，若發(fa)現漏(lou)洞(dong)必(bi)(bi)須(xu)立即為漏(lou)洞(dong)提(ti)供安全更新，并(bing)公開披露補救的(de)漏(lou)洞(dong)。安全更新必(bi)(bi)須(xu)在至少10年(nian)或(huo)支持(chi)(chi)期的(de)剩(sheng)余時(shi)間(jian)內保持(chi)(chi)可(ke)用(yong)，以較長(chang)者為準(zhun)，同時(shi)制(zhi)造商必(bi)(bi)須(xu)記錄其了解到(dao)的(de)相關產(chan)品(pin)漏(lou)洞(dong)。

支持期限：支持期應符(fu)合預期使用時(shi)間(jian)，但必須至少為五年。用戶在購買時(shi)必須能夠明確(que)了解支持期的結束(shu)時(shi)間(jian)，包(bao)括月份和年份。

軟件材料清單：制造(zao)商必須確定(ding)并記錄產(chan)品組(zu)件(jian)和漏洞，包括起(qi)草至少(shao)包含產(chan)品主要依(yi)賴項的(de)軟件(jian)材料清(qing)單。

測試：制(zhi)造商必須定期測試產(chan)品安(an)全(quan)性。

漏洞報告：制(zhi)造(zao)(zao)商必須(xu)在(zai)24小時內向(xiang)其(qi)(qi)指(zhi)定的(de)(de)歐盟(meng)成員(yuan)國計(ji)算機(ji)(ji)安全事故(gu)響應(ying)小組（CISRT）報(bao)告(gao)任何被惡意(yi)行為者利用(yong)的(de)(de)產(chan)品漏洞(dong)。然(ran)后，制(zhi)造(zao)(zao)商必須(xu)在(zai)72小時內提交一份(fen)總(zong)體跟進報(bao)告(gao)，并(bing)在(zai)緩(huan)解措(cuo)施(shi)出臺(tai)后14天內提交一份(fen)詳細報(bao)告(gao)。除特殊情況外，這些(xie)漏洞(dong)報(bao)告(gao)將(jiang)轉發給產(chan)品上市所在(zai)成員(yuan)國的(de)(de)其(qi)(qi)他安全事故(gu)響應(ying)小組和市場(chang)監(jian)管機(ji)(ji)構。同(tong)時，制(zhi)造(zao)(zao)商還必須(xu)將(jiang)事故(gu)通知其(qi)(qi)用(yong)戶。

協同漏洞披露：制造商(shang)必須(xu)建立(li)協調(diao)的(de)(de)漏(lou)洞(dong)(dong)披露(lu)政策(ce)，并為第三方提供聯(lian)系地址以(yi)報告產(chan)品中(zhong)的(de)(de)漏(lou)洞(dong)(dong)。當制造商(shang)發(fa)現產(chan)品軟件(jian)(jian)或硬件(jian)(jian)組(zu)件(jian)(jian)中(zhong)的(de)(de)漏(lou)洞(dong)(dong)時，必須(xu)向(xiang)負(fu)責該組(zu)件(jian)(jian)的(de)(de)一(yi)方報告漏(lou)洞(dong)(dong)。

2、證明產品一致性

技術文檔：制造商必(bi)須(xu)創建和(he)維(wei)護技術文件，以證明(ming)其產(chan)品符(fu)合法案(an)的基本安全要求。技術文檔必(bi)須(xu)在產(chan)品投(tou)放市場之前完(wan)成，并應在產(chan)品支持期間不斷更新。

符合性評估：在將產品(pin)投放市(shi)場之前，制(zhi)造商必(bi)須對(dui)產品(pin)進(jin)行符合性評估，以確保(bao)符合安全要求。法案對(dui)產品(pin)安全做了分級，主要包(bao)括：

• 未(wei)分類或默認級別：這(zhe)一(yi)大類包括大多數帶有數字元素的產品，制造(zao)商可以自我評估是否符合(he)安(an)全要(yao)求。

• 第(di)(di)一(yi)類(lei)(lei)和第(di)(di)二(er)類(lei)(lei)（Classes I and II）：該級別(bie)被(bei)認(ren)為是“重要(yao)”的數字產(chan)品，這些產(chan)品必須經過第(di)(di)三方合格(ge)評估，它們可(ke)以適用統一(yi)標準或(huo)統一(yi)網絡安全認(ren)證計(ji)劃(hua)。第(di)(di)一(yi)類(lei)(lei)和第(di)(di)二(er)類(lei)(lei)產(chan)品具有(you)網絡安全相關功能，如果被(bei)破壞(huai)，其(qi)功能會帶來重大負面影響風險。

• “關鍵”的(de)數字產品(pin)：該類別包括(kuo)被認為是(shi)基本服務(wu)關鍵依(yi)賴項的(de)產品(pin)，如智能卡或具有(you)安全(quan)(quan)元(yuan)件的(de)類似設(she)備、智能計量系(xi)統(tong)以及用于高級安全(quan)(quan)目(mu)的(de)的(de)其(qi)他設(she)備。

數字產(chan)(chan)品(pin)完成(cheng)符(fu)合性(xing)(xing)評估后，制造商必須起草一份符(fu)合性(xing)(xing)聲明以(yi)補充技(ji)術文件(jian)，并(bing)將(jiang)這些記錄保(bao)存十年或支持期內（以(yi)較長者為準(zhun)）。此外，數字產(chan)(chan)品(pin)必須具有CE標志，以(yi)表明產(chan)(chan)品(pin)在進入(ru)市場之前符(fu)合法(fa)案標準(zhun)。這一要求可以(yi)視作強(qiang)制性(xing)(xing)的安全標簽計劃(hua)。

同時(shi)，法案還(huan)對進口商(shang)和分(fen)銷商(shang)提出相關要(yao)求，例(li)如包括對制造商(shang)的產品進行盡職調(diao)查、發現漏洞后及時(shi)通知制造商(shang)、向歐洲當局(ju)告知重大風險、保留記錄以及售(shou)后責任(ren)等。

對不合規行為的處罰

法案(an)(an)規定(ding)，對于未(wei)能(neng)遵守法案(an)(an)中提出的(de)漏洞(dong)報告、網絡事件報告或(huo)基本網絡安(an)全要求的(de)公司(si)，可能(neng)面(mian)臨(lin)高達(da)1500萬(wan)歐(ou)元或(huo)其全球(qiu)營業額(e)2.5%的(de)行政(zheng)罰(fa)款，以(yi)較高者為(wei)準(zhun)。

未能(neng)遵守(shou)多項其(qi)(qi)他義(yi)務(wu)的公司，可(ke)能(neng)會被(bei)處以最高(gao)1000萬(wan)歐元(yuan)的行政罰(fa)款，或其(qi)(qi)全球(qiu)營業額(e)的2%，以較高(gao)者為(wei)準。

同時，那些向執法機構或國家網絡(luo)事件響應小組提(ti)供誤(wu)導性(xing)信(xin)息可能導致(zhi)500萬歐元的(de)罰款，或全球營業(ye)額(e)的(de)1%，以(yi)較高(gao)者為準。

在(zai)某些情況下，歐盟成(cheng)員國當局(ju)可以要(yao)求廠商從歐盟市(shi)場召回或撤(che)出(chu)不(bu)合(he)規產品(pin)。

《網絡安全彈性法(fa)案》實施日期之前(qian)，歐盟將制(zhi)定統一標準(zhun)，以更好地幫(bang)助制(zhi)造商進行一致性評估(gu)。一旦生(sheng)效，制(zhi)造商、進口商和分銷(xiao)商將有三年時(shi)間適應新(xin)要求。中國是物聯網產品的生(sheng)產和出(chu)口大(da)國，大(da)量數字產品出(chu)口歐洲，相(xiang)關生(sheng)產廠商需要高度(du)重視(shi)，提前(qian)學習(xi)《網絡安全彈性法(fa)案》相(xiang)關內容，做(zuo)好應對(dui)。