国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

12月10日，醞釀4年之久的(de)歐(ou)盟(meng)《網(wang)絡(luo)彈(dan)性法(fa)案》（Cyber Resilience Act，CRA）正式生效，這是歐(ou)盟(meng)理事會(hui)將GDPR等(deng)法(fa)規構建的(de)合規框架(jia)進一步向軟硬件產(chan)品領域延伸的(de)重(zhong)要(yao)表現，對于(yu)歐(ou)洲乃至全(quan)球網(wang)絡(luo)安全(quan)領域影響巨大(da)。

從法案的覆蓋范圍來看，除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外，CRA適用于任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味著，幾乎所有存在聯網等數字化功能的電子類產品，包括電視、冰箱、智能音響等均被納入CRA的監管范疇。根據其使用范圍的描述，物聯網產品是其中最為(wei)典型的使用領(ling)域。

雖然該法案(an)提出(chu)主要(yao)義務到(dao)2027年(nian)12月11日起適(shi)用，但物聯(lian)(lian)網產品生產商需提前行動起來，做到(dao)符合CRA要(yao)求。對于國內(nei)出(chu)口歐洲(zhou)的(de)(de)物聯(lian)(lian)網企(qi)業來說，按(an)照CRA的(de)(de)要(yao)求推進(jin)合規(gui)性工作是當前一個必(bi)選(xuan)項。

CRA法規實施時間表和需要重點關注的事實

對(dui)于國(guo)內物聯網產品制(zhi)造(zao)商來(lai)說，目(mu)前還有36個月(yue)的(de)時(shi)間來(lai)開(kai)展合規性工(gong)作(zuo)，需要(yao)做(zuo)的(de)工(gong)作(zuo)包(bao)括:

• 強制性網絡風險評估

• 技術安全要求的實施

• 安全相關事件的報告義務(wu)

• 超過(guo)5年或(huo)預期(qi)產品壽命的(de)免費安全更(geng)新(xin)

如有違(wei)反CRA，將面(mian)臨較(jiao)高(gao)的處罰(fa)。法(fa)案規定，對于未能遵守(shou)法(fa)案中(zhong)提(ti)出(chu)的漏洞報告(gao)、網絡事件報告(gao)或(huo)(huo)(huo)基(ji)本網絡安全要求的公司，可能面(mian)臨高(gao)達1500萬歐(ou)元(yuan)或(huo)(huo)(huo)其(qi)全球(qiu)(qiu)營業(ye)(ye)額2.5%的行政罰(fa)款，以較(jiao)高(gao)者為(wei)準；對于不(bu)遵守(shou)其(qi)他義務的情(qing)況(kuang)，罰(fa)款上限為(wei)1000萬歐(ou)元(yuan)，或(huo)(huo)(huo)是全球(qiu)(qiu)營業(ye)(ye)額2%；若(ruo)企業(ye)(ye)向市(shi)場(chang)監管(guan)機構或(huo)(huo)(huo)相關機構提(ti)供誤導性或(huo)(huo)(huo)不(bu)正確的信息，罰(fa)款可能高(gao)達500萬歐(ou)元(yuan)，或(huo)(huo)(huo)是全球(qiu)(qiu)營業(ye)(ye)額的1%。此(ci)外，在(zai)某些情(qing)況(kuang)下，歐(ou)盟成(cheng)員國當(dang)局可以要求廠商(shang)從歐(ou)盟市(shi)場(chang)召回或(huo)(huo)(huo)撤出(chu)不(bu)合規產品。

對于在歐盟市場上布(bu)局物聯網(wang)產品的(de)所有制(zhi)造商來(lai)說，他們非(fei)常(chang)重視這(zhe)36個(ge)月的(de)過(guo)渡期(qi)，推進產品遵守CRA規定。

一個需要業界高度關注的事實是，CRA的要求可能提升了一些大型制造商對供應鏈管理的要求和難度。在CRA征求意見階段，遭到(dao)了西門子(zi)等公司(si)的(de)強烈(lie)反饋，其中主(zhu)要(yao)的(de)來自(zi)于要(yao)求制造商在將來自(zi)第三方的(de)部件(jian)集成到(dao)帶有(you)數字元素(su)的(de)產品中時(shi)，應(ying)當確保此類部件(jian)不會危及產品的(de)安全性的(de)條款。

在(zai)這一條(tiao)款(kuan)下，產品(pin)最終制(zhi)造(zao)商承(cheng)擔(dan)著較(jiao)高(gao)責(ze)任，意味著產品(pin)制(zhi)造(zao)商在(zai)使用某一組(zu)件(jian)、第三方組(zu)件(jian)乃(nai)至軟件(jian)插件(jian)時，都需要(yao)對其安(an)全性進行檢(jian)驗和確(que)認。對于高(gao)度(du)依賴產業鏈國際分工(gong)(gong)的(de)(de)(de)家電(dian)、消費電(dian)子、工(gong)(gong)業物聯網等領域，這一標(biao)準的(de)(de)(de)落地(di)極大拓(tuo)寬(kuan)了其責(ze)任范圍(wei)。核心企業或品(pin)牌制(zhi)造(zao)商要(yao)確(que)保其供(gong)(gong)應鏈中(zhong)的(de)(de)(de)供(gong)(gong)應商所有(you)產品(pin)符合CRA標(biao)準，不但(dan)要(yao)求自己對CRA法案具有(you)深入(ru)理解，還需要(yao)構建高(gao)效(xiao)的(de)(de)(de)第三方供(gong)(gong)應商CRA管理的(de)(de)(de)制(zhi)度(du)和流程(cheng)，如若出現第三方原因造(zao)成CRA合規問題，制(zhi)造(zao)商將承(cheng)擔(dan)第一責(ze)任，因此這是一個具有(you)較(jiao)高(gao)挑戰性的(de)(de)(de)工(gong)(gong)作。

物聯網產品的制造商需要做什么？

為了符(fu)合CRA對物(wu)聯(lian)網(wang)產品的要(yao)求(qiu)，物(wu)聯(lian)網(wang)制(zhi)造(zao)商(shang)需要(yao)開(kai)展一系列(lie)工作，根據制(zhi)造(zao)商(shang)合規指南，以下(xia)列(lie)出制(zhi)造(zao)商(shang)需要(yao)完成的一些強(qiang)制(zhi)性(xing)工作。

1、先決條件

根(gen)據CRA相關條款，企(qi)業在將產(chan)品(pin)投(tou)放到歐洲市場(chang)之前，必須：

• 根據預(yu)期用途、可預(yu)見條件和預(yu)期壽(shou)命分(fen)析(xi)潛在風險；

• 安全(quan)(quan)地集成(cheng)各(ge)類組件：物聯(lian)網制造(zao)商在從第三(san)方采購組件時進行(xing)盡(jin)職(zhi)調查，包括(kuo)開源(yuan)軟件，以確保它(ta)們不會危及產品的網絡(luo)安全(quan)(quan)；

• 具有(you)解決內(nei)部或外部來源報告的(de)(de)漏洞(dong)政策和程序，包括協調的(de)(de)披(pi)露(lu)政策；

• 準備技術文件；

• 選擇并(bing)實施(shi)合(he)格(ge)評定程序；

• 發布歐盟一(yi)致(zhi)性聲明(ming)并粘(zhan)貼CE標志；

• 包括(kuo)產品(pin)、包裝或隨附文件上的識別標記（如類型、批次、序列號）；

• 在產品、包裝或隨附文件上注明制造(zao)商的名稱、聯(lian)系方式(shi)和(he)網站；

• 提供(gong)至少5年(nian)的支持，如果產品不足5年(nian)，則提供(gong)生命周(zhou)期的支持；

• 確保(bao)在支持(chi)期內發布(bu)的(de)安全(quan)更新(xin)在至少10年或剩余的(de)支持(chi)期內保(bao)持(chi)可用，以較長者(zhe)為準。

2、強制性文件

制(zhi)造(zao)商必須滿足以下(xia)強(qiang)制(zhi)性文件要求:

（1）技術(shu)(shu)文(wen)(wen)檔(dang)：技術(shu)(shu)文(wen)(wen)檔(dang)包括相關(guan)的(de)(de)網絡安(an)全方(fang)面內容，如已識(shi)別的(de)(de)漏洞(dong)、第三方(fang)信息和(he)風險評估的(de)(de)更新(xin)。技術(shu)(shu)文(wen)(wen)檔(dang)必(bi)須保持(chi)10年或產品上市后(hou)的(de)(de)整個支持(chi)期（以(yi)較長者為準）。

（2）歐盟(meng)符(fu)(fu)合(he)性聲明：該文件證(zheng)明產品符(fu)(fu)合(he)基(ji)本要求(qiu)。制造(zao)商可(ke)以提供完整(zheng)版或帶(dai)有(you)完整(zheng)版在線鏈接的簡化(hua)版。兩個(ge)版本都必須在10年或產品支持(chi)期內保持(chi)可(ke)用。

（3）用戶(hu)信息(xi)和說明：這一關于安全安裝(zhuang)、操作和使(shi)用的指南必須清(qing)晰易懂，并且(qie)使(shi)用用戶(hu)和權(quan)威機(ji)構(gou)能夠(gou)容易掌握的語(yu)言。該文件必須在10年(nian)或支持期內保持在線或物理(li)可訪(fang)問。

3、報告機制

這(zhe)些報告要求旨在加強網絡安全措施(shi)，并(bing)能夠協(xie)調應對漏(lou)洞和事(shi)件，制(zhi)造(zao)商(shang)必須:

（1）必(bi)須在24小(xiao)時內向其(qi)指定的(de)歐盟(meng)成(cheng)員國計算機安(an)全(quan)事故(gu)響應(ying)小(xiao)組(zu)（CSIRT）報告(gao)任何被惡意(yi)行為者利用的(de)產品漏洞。然后，制造商必(bi)須在72小(xiao)時內提交一份(fen)總體跟進(jin)報告(gao)，并在緩解措施(shi)出臺(tai)后14天內提交一份(fen)詳(xiang)細(xi)報告(gao)。除(chu)特(te)殊情(qing)況外，這些漏洞報告(gao)將轉發(fa)給產品上市所(suo)在成(cheng)員國的(de)其(qi)他安(an)全(quan)事故(gu)響應(ying)小(xiao)組(zu)和市場監管機構。同(tong)時，制造商還必(bi)須將事故(gu)通(tong)知其(qi)用戶。

（2）協同漏洞披露(lu)：制造商必(bi)須建立(li)協調(diao)的漏洞披露(lu)政策，并(bing)為第三方提供聯(lian)系地(di)址以報告(gao)產品(pin)中(zhong)的漏洞。當制造商發現產品(pin)軟件(jian)(jian)(jian)或(huo)硬件(jian)(jian)(jian)組件(jian)(jian)(jian)中(zhong)的漏洞時(shi)，必(bi)須向負責該組件(jian)(jian)(jian)的一(yi)方報告(gao)漏洞。

產品符合性評估相關要求

在將產品(pin)投(tou)放市場之前(qian)，制造(zao)商(shang)必須對(dui)產品(pin)進行符(fu)合(he)性評估，以(yi)確保符(fu)合(he)安(an)全要求。法案對(dui)產品(pin)安(an)全做了分級，主(zhu)要包括：

（1）未分類或默認級別：這一大類包括大多數帶有(you)數字(zi)元素的(de)產品，制造商可以(yi)自我評估是否符合安全要(yao)求。

（2）第(di)(di)一(yi)類(lei)和第(di)(di)二(er)類(lei)（Classes I and II）：該級別被認為是“重要”的(de)數字產品，這些(xie)產品必須經過第(di)(di)三方合格(ge)評估，它們(men)可以(yi)適用統(tong)一(yi)標準或統(tong)一(yi)網絡安全認證計(ji)劃。第(di)(di)一(yi)類(lei)和第(di)(di)二(er)類(lei)產品具有(you)網絡安全相關(guan)功能，如果被破壞，其功能會帶來(lai)重大負(fu)面影響風險。

（3）“關鍵(jian)”的(de)(de)數字(zi)產品(pin)：該類(lei)別包(bao)括被認為是(shi)基(ji)本(ben)服務關鍵(jian)依(yi)賴項的(de)(de)產品(pin)，如智能(neng)(neng)卡或具有安(an)全元(yuan)件的(de)(de)類(lei)似設(she)備(bei)、智能(neng)(neng)計量系統以及用于高級安(an)全目的(de)(de)的(de)(de)其他設(she)備(bei)。

數字產品完成符(fu)合(he)性評(ping)估后，制造商必須(xu)起草(cao)一份符(fu)合(he)性聲明以(yi)補充技術文件，并將這(zhe)些記錄(lu)保(bao)存(cun)十年或支持期內（以(yi)較(jiao)長者為準）。此外(wai)，數字產品必須(xu)具有CE標志，以(yi)表明產品在進入市場之(zhi)前(qian)符(fu)合(he)法案標準。這(zhe)一要求可以(yi)視(shi)作強(qiang)制性的安全標簽計劃(hua)。

同時(shi)，法案還(huan)對進口商和分銷商提出相關要(yao)求，例如包括對制(zhi)造(zao)商的產(chan)品進行盡職調查、發現漏洞后及(ji)時(shi)通知制(zhi)造(zao)商、向歐洲(zhou)當局告知重大風險、保留記錄以及(ji)售后責任(ren)等。

目(mu)前，國內物(wu)聯網(wang)(wang)企(qi)(qi)(qi)業(ye)(ye)出海歐洲(zhou)已形(xing)成較大規(gui)模。作為境(jing)外(wai)企(qi)(qi)(qi)業(ye)(ye)，如仍想要將物(wu)聯網(wang)(wang)產品銷往歐洲(zhou)，就必(bi)須投入(ru)額外(wai)合(he)規(gui)成本(ben)以符(fu)合(he)CRA的(de)相關合(he)規(gui)要求，而未(wei)能完成CRA改造的(de)企(qi)(qi)(qi)業(ye)(ye)則會被拒(ju)之門外(wai)。國內物(wu)聯網(wang)(wang)企(qi)(qi)(qi)業(ye)(ye)可以參考歐盟相關企(qi)(qi)(qi)業(ye)(ye)實踐，必(bi)要時(shi)也引入(ru)專業(ye)(ye)的(de)第(di)三方(fang)咨詢機構協(xie)助(zhu)完善企(qi)(qi)(qi)業(ye)(ye)的(de)網(wang)(wang)絡(luo)安(an)全框(kuang)架(jia)，以確保符(fu)合(he)CRA規(gui)定(ding)。同(tong)時(shi)，政府有(you)關部門、行業(ye)(ye)協(xie)會以及產業(ye)(ye)鏈中的(de)龍頭企(qi)(qi)(qi)業(ye)(ye)也可發揮作用，總結(jie)共性問題，共同(tong)研究合(he)規(gui)解決方(fang)案，協(xie)助(zhu)企(qi)(qi)(qi)業(ye)(ye)尤其是(shi)中小制造商(shang)降低合(he)規(gui)成本(ben)，順利(li)實現(xian)產品出口(kou)歐洲(zhou)。