CRA(Cyber Resilience Act,网络弹性法案)是一项欧盟法规,为具有数字元素的产品确立了统一的工业信息安全要求。该法规已于2024年12月10日正式生效,并将于2027年12月11日起在欧盟境内强制实施。
CRA适用范围广泛
该法案涵盖了几乎所有含有数字组件并能与其他设备通信的产品,包括:
● 各类软件解决方案(桌面应用、网页应用、移动应用及操作系统)
● 私人智能设备及其配套软硬件
产品将根据潜在风险划分等级,特别是在关键基础设施、工业生产或能源工业领域使用的系统,将被归入更高风险类别,面临更严格的符合性评估要求。
企业必须满足的核心要求
生产含数字元件产品的制造商需要:
1. 进行全面的风险分析,制定并实施风险降低措施
2. 建立并维护风险评估文档,保存期限至少10年
3. 持续监测安全漏洞,在产品典型使用寿命期内(至少5年)免费提供安全更新
4. 发现安全漏洞后24小时内向ENISA及相关国家机构报告
5. 创建软件物料清单,证明开发和测试符合工业信息安全标准
皮尔磁已做好充分准备
皮尔磁始终将产品安全置于首位。多年来,皮尔磁一直依据IEC 62443-4-1标准构建开发流程,该标准定义了产品安全开发生命周期过程。皮尔磁的开发流程合规性已获得TÜV Süd的审核确认。
面对即将实施的《网络弹性法案》,皮尔磁已制定全面应对策略:
● 现有产品将在必要时进行改造,确保符合CRA要求
● 新产品开发将严格遵循CRA规范
● 产品合规性(CE认证)将依据最新要求进行调整
● 不符合要求的产品将停止生产,或仅作为备件供应(不得用于新安装项目)
CRA与NIS 2的区别与互补
《网络弹性法案》与NIS 2指令共同构成了欧盟网络安全的新框架:
● CRA 关注产品安全,规定了含数字元素产品的设计、开发和制造的基本网络安全要求
● NIS 2 针对公司组织,要求采取技术和管理措施降低公司内部的信息安全风险
● 两者通过聚焦不同层面的网络安全,共同加强欧盟的整体网络安全水平。
随着2027年《网络弹性法案》强制实施期限的临近,以及新机械法规(欧盟法规2023/1230)的出台,工业产品面临的安全要求将更加严格。皮尔磁建议所有相关企业立即开始准备,确保产品符合新的网络安全要求,以免错过市场准入时机。
皮尔磁中国
销售咨询热线:4006 4006 50 网址: www.pilz.com.cn
