欧盟理事会考虑将国家安全的条款引入物联网网络安全法中

2022年11月22日，欧盟理事会主席国捷克根据《网络弹性法案》（Cyber Resilience Act，下文简称CRA）发布了第一份妥协案，对提案的范围和自由流动条款进行了大量的修改。

CRA是一项横向立法，旨在为联网设备及其相关服务引入基本的网络安全要求。自该提案于 9 月公布以来，欧盟理事会的各国代表一直在进行讨论。

新文本11 月 23 日在欧盟理事会筹备机构网络问题横向工作组上进行讨论，并将要求各成员国提供书面意见。

CRA旨在通过设计安全的方法来解决联网设备中的漏洞，加强网络安全规则，对包括软件在内的数字产品提出了大量网络安全要求，其中主要规定了：

1. 经济运营商的义务

2. 数字元素产品的规范标准

3. 数据产品的认证评估通知

4. 市场监督及执行

 CRA限制了可能损害欧盟国家安全、公共安全或国防利益的信息披露义务。

CRA不应阻止成员国出于军事、国防安全、国家安全或类似目的而去评估产品合规性的行为。

根据11月18日的草案进度报告，理事会讨论的重要部分集中在法规中涵盖软件服务。

在草案出来之前，丹麦、德国和荷兰发布了一份非正式文件，呼吁将法案涵盖的范围扩大到软件即服务。

捷克建议将软件定义为：“计算机代码由用编程语言描述的序列或指令集组成，包括机器或二进制代码，并由另一个软件或硬件执行，以处理、存储或传输数字数据”。

欧盟关于协调内陆水道河流信息系统的指令所涵盖的产品已被排除在CRA范围之外。一般而言，部门立法所涵盖的要求相同或更高保护水平的产品可能被排除在CRA外。

原始文本允许流通未完成的、不合规的软件，前提是仅可用于测试目的。但是，成员国希望新文本中明确该项限制不适用于欧盟统一立法中涵盖的安全组件。

1. 成员国表示，如何界定关键产品的范围仍需进一步的讨论。成员国还强调需要明确与其他相关立法的相互作用，例如网络与信息安全（Network and Information Security，NIS）和《欧盟网络安全法》（EU Cyber-security Act）。

2. 欧盟国家还呼吁澄清提案中使用的一些术语，并密切评估该法规将对开发和制造这些产品的中小企业和初创企业造成的负担。

3. 一些欧洲政府还希望审核提案的限制是否符合法规要求，即产品的预期寿命或自投放欧盟市场以来的五年，以较短者为准。

4. 对欧盟网络安全机构 ENISA（European Union Agency for Network and Information Security）的角色和任务需要进一步讨论。