欧盟《网络弹性法案》达成临时协议

当地时间11月30日，欧盟理事会轮值主席国和欧洲议会谈判代表已就有关数字产品网络安全要求的拟议立法达成临时协议，该立法即《网络弹性法案》（Cyber Resilience Act，CRA）。

（1）重新平衡制造商合规责任的规则，制造商必须履行某些义务，例如提供网络安全风风险评估、发布合格声明以及与主管当局合作；

（2）明确制造商数字产品网络安全的漏洞处理流程，以及进口商或分销商等经济运营商与这些流程相关的义务；

（3）采取措施提高消费者和企业用户的硬件和软件产品安全透明度；

（4）构建市场监督架构以执行相关规则；

共同立法者对委员会提案的部分内容做出了调整，主要涉及：

• 拟议立法的范围，采用更简单的方法对新法案涵盖的数字产品进行分类；

• 制造商确定产品预期寿命，虽然原则上仍然是数字产品的支持期与其预期寿命相以一致，但规定了至少五年的支持期，预计使用时间较短的产品除外；

• 关于被利用的漏洞和事件的报告义务，国家主管当局将是此类报告的最初接收者，但欧盟网络安全机构（ENISA）的作用得到加强；

• 新规则将在法律生效三年后适用，应当给制造商足够的时间来适应新要求；

• 已就针对小型和微型企业的额外支持措施达成一致，包括具体的提高认识和培训活活动，以及对测试和合格评估程序的支持；

‍

临时协议达成后，未来几周将继续在技术层面进行工作，以最终确定新法案的细节。这项工作完成后，轮值主席国西班牙将向成员国代表（Coreper）提交折衷案文以供批准。

在正式通过之前，整个文本将需要得到两个机构的确认，并进行法律语言方面的修订。

来源｜European Council ‍Council of the European Union