网络弹性法案：软件安全时代已经开始

《网络弹性法案》（CRA）代表了欧洲网络安全立法演变的一个基本步骤，其诞生是为了确保具有数字元素的产品（例如软件和硬件）的设计和开发符合高安全标准。

《网络弹性法案》经欧盟委员会批准并于 2024 年 4 月生效，旨在预防和减轻与网络攻击相关的风险，不仅保护公司，还保护最终消费者。

什么是网络弹性法案？

《网络弹性法案》是一项旨在通过对数字软件和硬件制造商提出明确要求来加强欧盟网络安全的法规。

目标是创建一个安全的数字生态系统，在产品设计时从开发的早期阶段就将安全性作为优先事项。

CRA 要求公司不仅在产品生产和销售时考虑安全，而且在其整个生命周期内考虑安全。

这意味着制造商有义务确保持续的安全更新，并对任何漏洞及时做出响应。

生效时间和调整

《网络弹性法案》于2024年4月正式生效。

企业将有一个过渡期来遵守新法规，预计到2026年该法规将全面适用。

一些具体义务，例如漏洞管理和网络事件报告，最早将于2025年生效。

对软件生产企业的主要要求

软件公司必须采取各种预防和纠正措施来遵守《网络弹性法案》，这些措施包括：

1. 安全设计和漏洞预防：

• 公司必须确保其产品的设计和开发采用“设计安全”和“默认安全”方法，减少攻击面并最大限度地降低可利用漏洞的风险。

• 必须采用漏洞缓解技术并及时为产品提供安全更新

• 公司必须创建一个识别、记录和修复漏洞的流程。他们还必须以可读的格式维护其产品（包括第三方产品）中使用的软件组件的完整列表。

• 公司必须实施协调一致的漏洞披露政策，并为用户和第三方提供报告安全漏洞的联系点。

• 制造商必须确保产品在至少五年内或在产品预计使用期间获得免费及时的安全更新。发现漏洞后必须尽快提供补丁。

• 要求企业在24小时内向有关部门报告重大安全事件或被利用的漏洞，并在72小时内提供详细报告。

• 在将产品投放市场之前，公司必须完成合规性评估，证明其符合《网络弹性法案》的安全要求。评估完成后，他们必须起草合格声明并将CE标志应用于产品。

对软件公司的影响

对于软件公司来说，《网络弹性法案》的引入涉及采用“设计安全”方法。

这意味着网络安全必须集成到软件生命周期的早期，从设计到开发再到部署和维护。

最相关的义务之一是进行持续的产品测试，例如SAST（静态应用程序安全测试）和DAST（动态应用程序安全测试）。

SAST 测试允许您在开发过程中识别源代码中的漏洞，而 DAST 测试则模拟软件执行过程中的攻击，以检测可能被恶意行为者利用的弱点。

此外，《网络弹性法案》要求软件制造商实施漏洞管理流程，包括起草所用软件组件列表（软件材料清单 - SBOM），以确保产品安全的透明度。

至少五年保持一致的安全更新的要求对公司来说是另一个重大挑战。

报告义务和漏洞管理

新法规的一个重要方面是漏洞管理。公司必须能够在24 小时内报告恶意行为者利用的任何事件或漏洞。

报告必须发送给ENISA（欧盟网络安全局）和国家计算机安全事件响应小组（CSIRT），公司必须在72小时内提供详细的更新。

这种透明度和响应能力的义务对于防止大规模伤害和维护消费者信任至关重要。

不遵守规定的处罚

不遵守网络弹性法案的公司将受到非常严厉的处罚。

罚款最高可达1500 万欧元或全球年营业额的 2.5%，以较高者为准。

不太严重的违规行为，例如未遵守技术文件或合规规则，仍可能导致高达1000 万欧元或全球营业额 2%的罚款。

除了罚款之外，公司还面临着CE 标志被撤销的风险，这对于在欧盟销售产品至关重要。

如果没有CE标志，数字产品将无法在欧洲市场上销售，从而使不符合要求的公司陷入严重困境。

机遇与挑战

虽然《网络弹性法案》对公司来说是一项重大挑战，特别是在技术和组织适应方面，但它也提供了机遇。对网络安全采取积极主动的方法的公司不仅可以避免制裁，而且能够赢得消费者的信任，从而提高竞争力。

在网络威胁不断增长的时代，遵守《网络弹性法案》可以成为能够利用该法规发挥自身优势的公司的竞争优势。

《网络弹性法案》旨在改变欧洲的网络安全格局。

软件公司，特别是工业自动化领域的软件公司，必须准备好面对复杂但必要的挑战，以确保其产品的安全性。

随着新的安全措施、报告义务和违规制裁的引入，CRA 成为所有在欧洲市场运营的公司的基本法规。

然而，那些能够适应的人将能够从日益数字化和安全的市场中增强的消费者信心和新的增长机会中受益。