国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

12月10日(ri)，醞釀4年之久的歐盟(meng)《網絡(luo)彈性法案》（Cyber Resilience Act，CRA）正式生效，這是歐盟(meng)理(li)事會將GDPR等法規構建的合規框架進一(yi)步向軟硬件產品領(ling)域延伸(shen)的重要表現(xian)，對于歐洲乃至(zhi)全(quan)球網絡(luo)安全(quan)領(ling)域影(ying)響巨大。

從法案的覆蓋范圍來看，除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外，CRA適用于任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味著，幾乎所有存在聯網等數字化功能的電子類產品，包括電視、冰箱、智能音響等均被納入CRA的監管范疇。根據其使用范圍的描述，物聯網產品(pin)是其中最為(wei)典型的(de)使用領(ling)域(yu)。

雖然該法案提(ti)出主(zhu)要(yao)(yao)義務到2027年12月11日(ri)起(qi)適用(yong)，但物聯(lian)網產品生產商需提(ti)前行動起(qi)來(lai)，做到符合(he)CRA要(yao)(yao)求。對(dui)于國內出口歐洲的物聯(lian)網企(qi)業(ye)來(lai)說，按照CRA的要(yao)(yao)求推進合(he)規性工作是當前一(yi)個必(bi)選項。

CRA法規實施時間表和需要重點關注的事實

對于國內物聯網產品制造商來(lai)(lai)說，目前還有36個月的(de)時間來(lai)(lai)開展合(he)規性(xing)工(gong)作(zuo)，需(xu)要做(zuo)的(de)工(gong)作(zuo)包括:

• 強制性網絡風險評估

• 技術安全要求的實施

• 安(an)全相關事件的報(bao)告義務

• 超過5年或預期產品(pin)壽命的免費(fei)安全更新

如有違反CRA，將(jiang)面臨較高(gao)的(de)處罰(fa)(fa)。法案規定，對于(yu)未能遵守(shou)(shou)法案中(zhong)提出的(de)漏洞(dong)報告、網(wang)絡事件報告或(huo)(huo)基本網(wang)絡安全(quan)要(yao)求的(de)公司，可(ke)能面臨高(gao)達1500萬(wan)(wan)歐(ou)(ou)(ou)元(yuan)或(huo)(huo)其全(quan)球營(ying)(ying)業(ye)額(e)2.5%的(de)行(xing)政罰(fa)(fa)款，以較高(gao)者為(wei)準；對于(yu)不(bu)(bu)遵守(shou)(shou)其他(ta)義(yi)務的(de)情(qing)況(kuang)(kuang)，罰(fa)(fa)款上限為(wei)1000萬(wan)(wan)歐(ou)(ou)(ou)元(yuan)，或(huo)(huo)是(shi)全(quan)球營(ying)(ying)業(ye)額(e)2%；若企業(ye)向(xiang)市場(chang)監管機構(gou)或(huo)(huo)相(xiang)關(guan)機構(gou)提供誤導性或(huo)(huo)不(bu)(bu)正確(que)的(de)信(xin)息，罰(fa)(fa)款可(ke)能高(gao)達500萬(wan)(wan)歐(ou)(ou)(ou)元(yuan)，或(huo)(huo)是(shi)全(quan)球營(ying)(ying)業(ye)額(e)的(de)1%。此外(wai)，在某些(xie)情(qing)況(kuang)(kuang)下，歐(ou)(ou)(ou)盟成員國(guo)當(dang)局可(ke)以要(yao)求廠商從歐(ou)(ou)(ou)盟市場(chang)召回或(huo)(huo)撤出不(bu)(bu)合(he)規產(chan)品(pin)。

對于在歐盟市場上布局物聯網產品的所(suo)有制造商來說，他們(men)非(fei)常重視這36個月的過(guo)渡期，推進產品遵守CRA規定。

一個需要業界高度關注的事實是，CRA的要求可能提升了一些大型制造商對供應鏈管理的要求和難度。在CRA征求意(yi)見階段，遭到了西門子等公司的(de)(de)強烈(lie)反(fan)饋，其中(zhong)主要的(de)(de)來(lai)自(zi)于要求制(zhi)造商在將來(lai)自(zi)第三方的(de)(de)部件集成到帶有(you)數字元素的(de)(de)產品(pin)中(zhong)時，應當確保此類(lei)部件不會危(wei)及產品(pin)的(de)(de)安全性的(de)(de)條款(kuan)。

在這(zhe)一(yi)(yi)條(tiao)款下，產品(pin)最終制(zhi)造(zao)商(shang)(shang)(shang)承(cheng)擔著較高責任，意(yi)味著產品(pin)制(zhi)造(zao)商(shang)(shang)(shang)在使用某(mou)一(yi)(yi)組件、第(di)(di)三方組件乃至軟(ruan)件插件時(shi)，都需(xu)要對其安全(quan)性進行檢驗和確認(ren)。對于高度依賴(lai)產業鏈國(guo)際分(fen)工(gong)的家電、消(xiao)費(fei)電子、工(gong)業物聯(lian)網等領(ling)域，這(zhe)一(yi)(yi)標準的落地極大拓寬(kuan)了其責任范圍。核心企業或(huo)品(pin)牌制(zhi)造(zao)商(shang)(shang)(shang)要確保(bao)其供(gong)應(ying)鏈中的供(gong)應(ying)商(shang)(shang)(shang)所有(you)產品(pin)符合CRA標準，不但要求自己對CRA法案具有(you)深入理(li)(li)解，還(huan)需(xu)要構建高效的第(di)(di)三方供(gong)應(ying)商(shang)(shang)(shang)CRA管(guan)理(li)(li)的制(zhi)度和流程，如若出現第(di)(di)三方原(yuan)因造(zao)成CRA合規問題，制(zhi)造(zao)商(shang)(shang)(shang)將承(cheng)擔第(di)(di)一(yi)(yi)責任，因此這(zhe)是一(yi)(yi)個(ge)具有(you)較高挑戰性的工(gong)作(zuo)。

物聯網產品的制造商需要做什么？

為了符合CRA對物聯(lian)網(wang)產品(pin)的(de)要(yao)求，物聯(lian)網(wang)制(zhi)造(zao)商(shang)需要(yao)開展一(yi)系列工(gong)作(zuo)，根據制(zhi)造(zao)商(shang)合規指南，以下列出制(zhi)造(zao)商(shang)需要(yao)完成的(de)一(yi)些(xie)強制(zhi)性工(gong)作(zuo)。

1、先決條件

根據(ju)CRA相關條款，企業(ye)在將產品投放到歐洲市場(chang)之前，必須：

• 根(gen)據預(yu)期(qi)用途、可預(yu)見條件和(he)預(yu)期(qi)壽命分(fen)析潛(qian)在風險；

• 安(an)全(quan)地集成各類組件(jian)：物聯(lian)網制造商在從第三方采(cai)購組件(jian)時(shi)進行(xing)盡職調(diao)查，包括開源軟件(jian)，以確保它們不會危及產品(pin)的(de)網絡(luo)安(an)全(quan)；

• 具有解決內部(bu)或外部(bu)來源(yuan)報告的漏洞政策(ce)和(he)程序，包括協(xie)調(diao)的披(pi)露政策(ce)；

• 準備技術文件；

• 選擇并實施合格(ge)評定程序；

• 發布歐盟一致性聲明(ming)并粘貼CE標志；

• 包(bao)括產品、包(bao)裝或(huo)隨附文件上的識別(bie)標記(ji)（如(ru)類型、批(pi)次、序列號(hao)）；

• 在產品(pin)、包裝(zhuang)或隨附文(wen)件(jian)上注明(ming)制(zhi)造商的(de)名稱(cheng)、聯(lian)系方式和網站；

• 提(ti)供(gong)至(zhi)少5年的支持，如果產品不足5年，則(ze)提(ti)供(gong)生(sheng)命周期的支持；

• 確保在支(zhi)持(chi)期內(nei)(nei)發布(bu)的安全更新(xin)在至少10年或剩余的支(zhi)持(chi)期內(nei)(nei)保持(chi)可用，以較長者(zhe)為準(zhun)。

2、強制性文件

制造商必須滿(man)足以下(xia)強(qiang)制性文件要求(qiu):

（1）技(ji)(ji)術文(wen)檔：技(ji)(ji)術文(wen)檔包括(kuo)相(xiang)關的(de)網絡安全方面(mian)內容，如已(yi)識(shi)別的(de)漏(lou)洞、第三方信息和風險評估的(de)更新(xin)。技(ji)(ji)術文(wen)檔必須(xu)保(bao)持10年或產(chan)品上市(shi)后的(de)整個支持期（以較(jiao)長者為準）。

（2）歐盟(meng)符(fu)合性聲(sheng)明(ming)：該(gai)文件(jian)證(zheng)明(ming)產品(pin)符(fu)合基(ji)本(ben)要求。制造商可以提供完整版或帶有完整版在線鏈(lian)接的(de)簡(jian)化版。兩個版本(ben)都必須在10年或產品(pin)支持期內保(bao)持可用。

（3）用(yong)(yong)(yong)戶(hu)信息和(he)說明：這(zhe)一關(guan)于安全安裝、操作(zuo)和(he)使用(yong)(yong)(yong)的指南必須清晰易懂(dong)，并且使用(yong)(yong)(yong)用(yong)(yong)(yong)戶(hu)和(he)權(quan)威(wei)機(ji)構能夠(gou)容易掌(zhang)握(wo)的語言。該文件必須在10年或(huo)支持(chi)期(qi)內保(bao)持(chi)在線或(huo)物理可(ke)訪問(wen)。

3、報告機制

這(zhe)些(xie)報告要求旨在加強(qiang)網(wang)絡安全措施，并能夠協調(diao)應對漏洞和事件，制造商必須:

（1）必須在(zai)24小(xiao)時(shi)內向其指(zhi)定的(de)歐盟(meng)成(cheng)(cheng)員國計算機(ji)安全事故(gu)響(xiang)應小(xiao)組（CSIRT）報(bao)(bao)告任何被惡意行為者利用的(de)產品漏(lou)洞(dong)。然后，制造(zao)(zao)商必須在(zai)72小(xiao)時(shi)內提交(jiao)一份(fen)總體跟進報(bao)(bao)告，并在(zai)緩解措施出臺后14天內提交(jiao)一份(fen)詳細報(bao)(bao)告。除(chu)特殊情況外，這(zhe)些漏(lou)洞(dong)報(bao)(bao)告將轉發給(gei)產品上(shang)市所在(zai)成(cheng)(cheng)員國的(de)其他安全事故(gu)響(xiang)應小(xiao)組和市場監管機(ji)構(gou)。同時(shi)，制造(zao)(zao)商還必須將事故(gu)通(tong)知其用戶。

（2）協同漏(lou)(lou)(lou)洞(dong)披露(lu)：制造(zao)商必(bi)須建(jian)立協調的(de)漏(lou)(lou)(lou)洞(dong)披露(lu)政(zheng)策，并為(wei)第三(san)方(fang)提供(gong)聯系(xi)地址以(yi)報(bao)告(gao)產品中的(de)漏(lou)(lou)(lou)洞(dong)。當制造(zao)商發現產品軟件(jian)(jian)或硬件(jian)(jian)組件(jian)(jian)中的(de)漏(lou)(lou)(lou)洞(dong)時，必(bi)須向負責該組件(jian)(jian)的(de)一方(fang)報(bao)告(gao)漏(lou)(lou)(lou)洞(dong)。

產品符合性評估相關要求

在將(jiang)產品投放市場之(zhi)前，制造商必須(xu)對產品進(jin)行符(fu)合性(xing)評估，以確保符(fu)合安全(quan)要求。法案對產品安全(quan)做了(le)分級，主要包括：

（1）未(wei)分類或默認級(ji)別：這一大類包括大多數帶有(you)數字元素的產品，制造商可以自我(wo)評估是(shi)否(fou)符合安全要求。

（2）第一(yi)(yi)類(lei)和第二類(lei)（Classes I and II）：該級(ji)別被認(ren)為是“重要”的(de)數字產品，這些產品必須(xu)經過(guo)第三方合格(ge)評估，它(ta)們可以適(shi)用統(tong)一(yi)(yi)標準或(huo)統(tong)一(yi)(yi)網(wang)絡(luo)安(an)全(quan)認(ren)證計劃(hua)。第一(yi)(yi)類(lei)和第二類(lei)產品具有(you)網(wang)絡(luo)安(an)全(quan)相關功(gong)能(neng)，如果被破壞，其功(gong)能(neng)會(hui)帶來重大(da)負面影(ying)響風險。

（3）“關(guan)鍵(jian)”的(de)(de)數字產(chan)品：該類別包括(kuo)被認(ren)為是基本服務(wu)關(guan)鍵(jian)依賴項的(de)(de)產(chan)品，如智能(neng)卡(ka)或具有(you)安(an)全(quan)元件的(de)(de)類似設備、智能(neng)計量系統以(yi)及用于高(gao)級安(an)全(quan)目的(de)(de)的(de)(de)其(qi)他設備。

數(shu)字產品(pin)完成符(fu)合(he)性(xing)評估后，制造商必須起草(cao)一份符(fu)合(he)性(xing)聲明以(yi)補充技術文件，并將(jiang)這些記錄保存十年或支持期(qi)內（以(yi)較長者為準）。此外，數(shu)字產品(pin)必須具有CE標(biao)志(zhi)，以(yi)表明產品(pin)在進(jin)入市場之前符(fu)合(he)法案標(biao)準。這一要求可以(yi)視作強制性(xing)的安全標(biao)簽(qian)計劃(hua)。

同(tong)時，法案還對進口商和分銷商提出相(xiang)關要求(qiu)，例如包括(kuo)對制造商的產品進行(xing)盡職調查(cha)、發現漏洞后及(ji)時通知制造商、向歐洲當局告知重大風險(xian)、保留記錄以及(ji)售(shou)后責任(ren)等。

目前，國(guo)內物(wu)聯(lian)網(wang)企(qi)業(ye)(ye)出海歐(ou)洲(zhou)已形成較大規(gui)模。作(zuo)為境外企(qi)業(ye)(ye)，如仍想要(yao)(yao)(yao)將物(wu)聯(lian)網(wang)產品銷往歐(ou)洲(zhou)，就必須(xu)投入額外合(he)(he)規(gui)成本(ben)(ben)以(yi)符合(he)(he)CRA的(de)(de)相關(guan)合(he)(he)規(gui)要(yao)(yao)(yao)求，而未能完成CRA改(gai)造的(de)(de)企(qi)業(ye)(ye)則會被拒之門外。國(guo)內物(wu)聯(lian)網(wang)企(qi)業(ye)(ye)可(ke)以(yi)參(can)考歐(ou)盟相關(guan)企(qi)業(ye)(ye)實踐，必要(yao)(yao)(yao)時也(ye)引(yin)入專(zhuan)業(ye)(ye)的(de)(de)第三方咨(zi)詢機構協(xie)助完善(shan)企(qi)業(ye)(ye)的(de)(de)網(wang)絡安全框架，以(yi)確保符合(he)(he)CRA規(gui)定。同時，政府有(you)關(guan)部門、行業(ye)(ye)協(xie)會以(yi)及產業(ye)(ye)鏈中的(de)(de)龍(long)頭企(qi)業(ye)(ye)也(ye)可(ke)發揮作(zuo)用，總結共性問題，共同研究合(he)(he)規(gui)解(jie)決方案，協(xie)助企(qi)業(ye)(ye)尤其是(shi)中小(xiao)制造商降低合(he)(he)規(gui)成本(ben)(ben)，順利實現產品出口歐(ou)洲(zhou)。