隨著歐盟《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act, CRA）的正式實施，所有帶有數(shù)字元素的產(chǎn)品必須滿足更高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本文全面解析CRA的生效時間、適用范圍、主要義務(wù)要求，并詳細(xì)介紹如何通過ONEKEY方案高效應(yīng)對合規(guī)挑戰(zhàn)，實現(xiàn)供應(yīng)鏈安全與漏洞管理的自動化。

歐盟《網(wǎng)絡(luò)彈性法案》（CRA）即將落地，未來在歐盟市場銷售的數(shù)字產(chǎn)品都必須滿足更嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。從制造商到分銷商，每一個環(huán)節(jié)都將面臨前所未有的合規(guī)挑戰(zhàn)。本文將帶你快速理解CRA的適用范圍與核心義務(wù)，同時介紹艾體寶的ONEKEY產(chǎn)品安全平臺，如何助力企業(yè)輕松實現(xiàn)漏洞管理與SBOM自動化，提前布局CRA合規(guī)，占領(lǐng)先機(jī)。

網(wǎng)絡(luò)安全是歐盟面臨的關(guān)鍵挑戰(zhàn)之一。未來幾年，連接設(shè)備的數(shù)量和種類將呈指數(shù)級增長。網(wǎng)絡(luò)攻擊不僅對歐盟經(jīng)濟(jì)產(chǎn)生重大影響，還對民主、消費者安全和健康構(gòu)成威脅。因此，歐盟決定在聯(lián)盟層面解決網(wǎng)絡(luò)韌性問題，并通過制定統(tǒng)一的法律框架來改善內(nèi)部市場的運作。

一、網(wǎng)絡(luò)彈性法案概述

網(wǎng)絡(luò)彈性法案（Cyber Resilience Act，下文簡稱“CRA”）由歐盟網(wǎng)絡(luò)安全局提出，與《高度共同網(wǎng)絡(luò)安全指令》（NIS 2指令）《網(wǎng)絡(luò)安全法》《人工智能法案》和《通用數(shù)據(jù)保護(hù)條例》（GDPR）等有著密切聯(lián)系，并有可能成為最重要的歐盟網(wǎng)絡(luò)安全法律之一。

該法案旨在通過要求制造商實施和維護(hù)網(wǎng)絡(luò)安全框架，并在產(chǎn)品的整個生命周期中遵循該框架，從而提高歐盟境內(nèi)所有具有數(shù)字元素的產(chǎn)品的安全級別。安全屬性透明度的提高也能使消費者和企業(yè)能夠做出具有安全意識的決策，并更安全地使用具有數(shù)字元素的產(chǎn)品。

二、網(wǎng)絡(luò)彈性法案的生效時間及適用產(chǎn)品范圍

CRA于2024年12月10日正式生效，各項具體義務(wù)的生效時間如下：

• 合格評估機(jī)構(gòu)的通知義務(wù)于2026年6月11日生效。
• 制造商的安全事件報告義務(wù)于2026年9月11日起實施。
• 其他所有規(guī)定自 2027年12月11日起開始執(zhí)行。

CRA的適用產(chǎn)品包括所有在歐盟市場銷售或提供的、帶有數(shù)字元素且預(yù)期或合理可預(yù)見的用途包括與設(shè)備或網(wǎng)絡(luò)有直接或間接邏輯或物理數(shù)據(jù)連接的硬件或軟件產(chǎn)品，列舉如下：

• 消費電子產(chǎn)品：如智能手機(jī)、筆記本電腦、智能手表、智能電視、聯(lián)網(wǎng)家用電器等。
• 物聯(lián)網(wǎng)（IoT）設(shè)備：智能手表、聯(lián)網(wǎng)家電、智能門鎖、智能攝像頭、工業(yè)物聯(lián)網(wǎng)設(shè)備等各種連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備。
• 物網(wǎng)絡(luò)設(shè)備：路由器、調(diào)制解調(diào)器、網(wǎng)絡(luò)交換機(jī)等網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。
• 軟件產(chǎn)品：包括操作系統(tǒng)、應(yīng)用程序、工業(yè)控制軟件等各種軟件，無論其是獨立銷售還是與硬件產(chǎn)品捆綁銷售。

CRA不適用的產(chǎn)品范圍主要是其他同等級歐盟規(guī)則已經(jīng)囊括的產(chǎn)品，列舉如下：

• 醫(yī)療器械：受《醫(yī)療器械法規(guī)（EU）2017/745》和《體外診斷醫(yī)療器械法規(guī)（EU）2017/746》調(diào)整規(guī)范的數(shù)字產(chǎn)品。
• 汽車：受《車輛一般安全條例（EU）2019/2144》規(guī)范的數(shù)字產(chǎn)品。
• 關(guān)鍵或重要實體的網(wǎng)絡(luò)服務(wù)：當(dāng) SaaS 適用《高度共同網(wǎng)絡(luò)安全指令》（NIS 2 指令）規(guī)定的關(guān)鍵或重要實體所屬企業(yè)的網(wǎng)絡(luò)安全管理義務(wù)時，不適用《網(wǎng)絡(luò)彈性法案》。
• 國家安全或軍事目的：專為國家安全或軍事目的開發(fā)的數(shù)字產(chǎn)品不在該法案的規(guī)范范圍內(nèi)。

三、網(wǎng)絡(luò)彈性法案的要求

CRA將規(guī)制主體定義為經(jīng)濟(jì)運營者，包括制造商、授權(quán)代表、進(jìn)口商、分銷商或任何其他須履行該法案規(guī)定義務(wù)的自然人或法人。該法案對經(jīng)濟(jì)運營者進(jìn)行了具體劃分，針對不同類型的主體施加不同的義務(wù)。

1.對制造商的要求

CRA對制造商要求嚴(yán)格，制造商需要確保產(chǎn)品符合法案規(guī)定的基本網(wǎng)絡(luò)安全要求，即產(chǎn)品需要具備適當(dāng)?shù)木W(wǎng)絡(luò)安全水平，且沒有可被利用的漏洞。具體義務(wù)內(nèi)容如下：

• 制造商應(yīng)確保產(chǎn)品是按照CRA中規(guī)定的基本網(wǎng)絡(luò)安全要求設(shè)計、開發(fā)和生產(chǎn)的；產(chǎn)品具備基于風(fēng)險的適當(dāng)?shù)木W(wǎng)絡(luò)安全水平；產(chǎn)品交付時沒有任何已知的可利用漏洞。
• 制造商應(yīng)對其產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行評估，并在產(chǎn)品的規(guī)劃、設(shè)計、開發(fā)、生產(chǎn)、交付和維護(hù)過程中考慮其結(jié)果，從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險，防止發(fā)生安全事故并盡量減少其影響，包括對用戶健康和安全的影響。此外，制造商在集成來自第三方的組件時必須盡職盡責(zé)，以確保這些組件不會危及產(chǎn)品的安全性。
• 制造商必須以與性質(zhì)和網(wǎng)絡(luò)安全風(fēng)險相稱的方式系統(tǒng)地記錄相關(guān)的網(wǎng)絡(luò)安全事項。
• 產(chǎn)品投放歐盟市場時，技術(shù)文檔中必須包含網(wǎng)絡(luò)安全風(fēng)險評估。
• 制造商必須確保產(chǎn)品的漏洞在預(yù)期的產(chǎn)品生命周期內(nèi)或從投放市場算起的五年內(nèi)（以較短者為準(zhǔn)）得到有效處理。
• 在將產(chǎn)品投放市場之前，制造商必須起草技術(shù)文檔，該文檔必須包含所有相關(guān)數(shù)據(jù)并且必須不斷更新；進(jìn)行產(chǎn)品質(zhì)量評估；確保產(chǎn)品滿足歐盟符合性聲明，并為產(chǎn)品張貼CE標(biāo)志；產(chǎn)品隨附清晰、易懂、可理解和易讀的信息和說明。
• 制造商需要制定適當(dāng)?shù)恼吆统绦蛞蕴幚砗托迯?fù)潛在的漏洞。
• 制造商負(fù)有報告義務(wù)。如果產(chǎn)品中包含任何被積極利用的漏洞或任何事件對產(chǎn)品的安全性產(chǎn)生影響，制造商需要在發(fā)現(xiàn)上述情況后的24小時內(nèi)，立即向歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)（European Union Agency for Cybersecurity，ENISA）報告此情況，不得無故拖延。此外，在識別組件中的漏洞后，制造商需要將漏洞報告給維護(hù)組件的個人或?qū)嶓w。

2.對分銷商和進(jìn)口商的要求

CRA要求分銷商和進(jìn)口商如果發(fā)現(xiàn)數(shù)字產(chǎn)品存在漏洞，應(yīng)立即通知制造商。如果產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險，則需要立即通知產(chǎn)品銷售地所在成員國的市場監(jiān)督機(jī)構(gòu)。具體義務(wù)如下：

• 在將產(chǎn)品投放市場之前，進(jìn)口商必須確保：制造商已進(jìn)行產(chǎn)品質(zhì)量評估；制造商已起草技術(shù)文件；產(chǎn)品帶有CE標(biāo)志；產(chǎn)品附有清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。
• 進(jìn)口商必須在數(shù)字產(chǎn)品的包裝或產(chǎn)品隨附文件中標(biāo)明其名稱、注冊商號或注冊商標(biāo)、郵政地址和可以聯(lián)系到他們的電子郵件地址。聯(lián)系方式應(yīng)使用用戶和市場監(jiān)督機(jī)構(gòu)易于理解的語言。
• 在數(shù)字產(chǎn)品投放市場后的十年內(nèi)，進(jìn)口商必須保留一份歐盟符合性聲明的副本，以供市場監(jiān)督機(jī)構(gòu)使用。

四、對供應(yīng)鏈風(fēng)險的管理

CRA的一個核心要求是管理供應(yīng)鏈風(fēng)險。在現(xiàn)代應(yīng)用中，80%-90% 的代碼庫由第三方軟件組件組成，包括開源和專有軟件，這些組件包括用于保護(hù)傳輸中敏感信息的加密庫，以及用于控制互聯(lián)設(shè)備中包含的第三方硬件模塊的閉源 SDK。由于大部分代碼庫不受制造商的直接控制，所以互聯(lián)設(shè)備的風(fēng)險很大一部分是從第三方軟件組件繼承的。因此，CRA加強(qiáng)了供應(yīng)鏈風(fēng)險的管控，相關(guān)要求如下：

• 必須確定軟件組件，并且必須維護(hù)軟件物料清單 （SBOM）。
• 必須立即修復(fù)漏洞，并且需要將安全更新分發(fā)給受影響的用戶。
• 必須定期對產(chǎn)品進(jìn)行安全級別的測試和審查。
• 需要對所有第三方組件進(jìn)行盡職調(diào)查。

五、供應(yīng)鏈風(fēng)險對策

為了實現(xiàn)CRA對供應(yīng)鏈風(fēng)險的管控要求，艾體寶提供了ONEKEY方案。ONEKEY方案中的產(chǎn)品安全平臺隨時提供自動化支持，提供包括漏洞管理、供應(yīng)鏈評估流程等功能，并協(xié)助滿足報告和文檔要求。此外，ONEKEY 還提供專家建議和咨詢資源，以支持制造商、進(jìn)口商和分銷商實現(xiàn)CRA合規(guī)性。

具體而言，ONEKEY方案中的產(chǎn)品安全平臺利用專利級的二進(jìn)制提取技術(shù)使得無需源代碼就能對二進(jìn)制固件進(jìn)行更深入和精確的分析。ONEKEY能自動生成詳細(xì)的SBOM，包括固件所有級別的軟件依賴關(guān)系，SBOM可以以機(jī)器可讀（即CycloneDX、SPDX）或人類可讀格式（CSV、EXCEL）導(dǎo)出，以供其他系統(tǒng)、最終用戶和監(jiān)管機(jī)構(gòu)使用。接下來，ONEKEY 使用自然語言處理（NLP）方法來確定是否存在影響此軟件版本的公開已知漏洞。

此外，ONEKEY基于深度學(xué)習(xí)的方法會自動分析漏洞可利用的先決條件。在集成的自動化影響評估中，如果滿足可利用性的先決條件，則會分析目標(biāo)設(shè)備，從而過濾掉不相關(guān)的漏洞。這種獨特的方法通過顯著減少手動影響評估并允許開發(fā)和產(chǎn)品安全事件響應(yīng)團(tuán)隊（PSIRT）來縮短響應(yīng)時間。對于未被濾掉的漏洞，系統(tǒng)也會每個漏洞都會進(jìn)行評分，以顯示其與您的產(chǎn)品的相關(guān)性。分?jǐn)?shù)越高，它影響您的產(chǎn)品的可能性就越大，從而使安全響應(yīng)團(tuán)隊能夠有效地確定優(yōu)先級并縮短修復(fù)時間。所有證據(jù)都被收集并附加到 CVE 匹配項中，從而易于說明為什么某些問題無關(guān)緊要。

ONEKEY的固件監(jiān)控功能會每日分析目標(biāo)產(chǎn)品是否存在新的零日漏洞或已知漏洞，并對所有已識別的漏洞自動執(zhí)行基于AI/ML的影響評估。這使制造商能夠在最短的時間內(nèi)對新漏洞做出反應(yīng)，并創(chuàng)建和分發(fā)安全補(bǔ)丁。對于已經(jīng)修復(fù)，需要重新進(jìn)行漏洞檢測和技術(shù)合規(guī)性檢查的固件版本，ONEKEY產(chǎn)品安全平臺也無需您重新輸入所有信息，只需要上傳新的軟件版本，平臺就會檢測到差異并突出顯示這些差異信息供您查看。

除了通過向CRA要求的流程添加自動化控制來減少手動工作外，ONEKEY還通過差距分析和實施支持幫助具有數(shù)字元素的產(chǎn)品制造商、進(jìn)口商和分銷商采用CRA要求的流程。ONEKEY的技術(shù)專家和安全研究人員擴(kuò)展了ONEKEY的自動化功能，確定產(chǎn)品在哪些方面和CRA標(biāo)準(zhǔn)仍有差距，并對受影響的連接設(shè)備進(jìn)行滲透測試和漏洞評估。