網路韌性法案(CRA)最近發佈在歐盟官方公報上。法規涵蓋使用數位元件產品的網路資安規範。受影響的企業現在有36個月落實CRA內所提出的要求。部份報告義務必須在接下來的21個月內完成。由誰負責?CRA的要求內容為何?
奧斯菲爾 , 2024年11月20日
具有法律約束力-Pilz提供資訊及實施秘訣:企業如何立即準備好因應網路韌性法案
歐盟網路韌性法案:CRA旨在為消費者及企業提供更佳防護,避免網路攻擊。CRA涵蓋針對可與其他產品通訊的數位產品製造商,進口業者及經銷商的一系列規範。包括硬體和軟體產品。換句話說,智慧型手機或機器人吸塵器等 B2C 領域的產品、控制器和感測器等 B2B 領域的產品,以及作業系統身等純軟體產品皆將受到影響。CRA於 2024 年 11 月 20 日發佈在歐盟官方公報上。本法律立即適用於所有歐盟成員國。
對機器製造商的關鍵要求
- 風險評估與保證:製造商在設計及開發產品時,必須保證在整個產品壽命週期中的適當網路安全程度。
- 安全漏洞管理:除非製造商與商業使用者間另有協議,否則製造商應透過免費資安更新排除已知安全漏洞。
- 文件紀錄:製造商必須辨識並記錄其產品中的安全漏洞與元件。
- 報告義務:在發現到漏洞利用的24小時內,製造商必須透過ENISA(歐盟網路安全局)報告平台提出報告。
目前機器製造商能做的事
身為安全可靠的自動化專家,Pilz建議所有機器製造商立即因應CRA要求,與元件製造商和操作人員一同發展合作概念。機器應在哪個網路區塊中運行?應該如何更新軟體?若此類問題都能事先釐清,各經濟營運商便能履行其新的組織及技術義務。數十年來,Pilz持續協助機器製造商及使用者保障其廠房與機械的安全性,也包括對工業資安的新要求。因為沒有資安,搭載安全措施的機器會因為缺乏防護而易受攻擊。預防性措施不可或缺。
落實CRA規範的2項實用秘訣
- 隨時維持最新狀態:在eur-lex.europa.eu上訂閱電子報與RSS摘要,隨時掌握歐盟的立法變化。
- 通用資安建議架構(CSAF)為一標準化的開源架構,針對通訊及機器可處理的安全漏洞與緩解資訊的自動分配,即所謂資安建議。
媒體聯絡
電話號碼: +886 2 25700068
電子郵件: y.chu@pilz.tw