歐盟《網絡彈性法案》簡介及借鑒意義

　　4 月 18 日消息：近年來，針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢，造成的危害也越來越嚴重。特別是在后疫情時代和數字化轉型時期，加強安全治理逐漸成為當今世界各國加強立法治理的重要方向。在此背景下，2022年9月15日，歐盟委員會發布網絡安全法規提案《網絡彈性法案》(Cyber Resilience Act，CRA)，該法案對歐盟的網絡安全提出了諸多的新要求，旨在加強歐盟數字產品的安全，整合現有安全監管框架。

　　歐盟作為全球主要經濟組織之一，其安全治理政策動向往往具有風向標的作用。研究歐盟最新的軟件安全政策，對我國在新時期加強網絡安全建設，完善網絡安全法律法規建設具有一定的借鑒意義。

　　一、

　　《網絡彈性法案》提出，該法案適用于所有直接或間接連接到另一設備或網絡的數字產品，其中數字產品包括“任何軟件或硬件產品及其遠程數據處理解決方案，包括單獨投放市場的軟件或硬件組件”。同時，該法案將適用于這些產品從設計階段到淘汰階段的整個生命周期。供應商需要提供這些產品的組件材料清單，以實現《網絡彈性法案》的立法目的。《網絡彈性法案》確定了兩個主要目標，以確保歐洲市場的安全度提升和網絡正常運轉。一是創造安全產品開發條件，確保硬件和軟件產品的安全漏洞減少，確保制造商認真對待安全產品的生命周期管理;二是為用戶在選擇和使用數字產品時評估網絡安全創造條件。該法案制定了四個具體目標：

　　1)確保制造商從設計和開發階段開始和整個生命周期改善數字元素產品的安全性;

　　2)確保連貫的網絡安全框架，促進硬件和軟件生產商的合規;

　　3)提高數字產品安全屬性的透明度;

　　4)使企業和消費者能夠安全地使用數字產品。

　　據估計，該舉措每年可導致影響安全的事故成本降低約1800億至2900億歐元，并將提高歐洲公司的全球聲譽，促進歐盟產品對外銷售額的增長。對于數字產品集成商來說，這一法案將提高安全屬性的透明度，并便于使用帶有數字元素的產品。消費者和公民也將受益，通過保護帶有數字元素的產品中信息的機密性、完整性和可用性，實現個人數據的安全，從而對用戶隱私和數據提供更高保護能力，更好匹配《通用數據保護條例》(GDPR)第2016/679號法規(EU)中的個人數據處理安全要求。

　　二、

　　1、監督機構

　　歐盟的《網絡彈性法案》規定，每個成員國應至少任命一個市場監督機構，以確?！毒W絡彈性法案》的有效實施。市場監督機構在必要時可與其他國家當局、其他成員國當局或歐盟委員會合作。

　　當市場監督機構有充分理由認為數字產品存在重大網絡安全風險時，其會評估該產品是否符合該法案的規定。如果評估的結果是產品不符合法案規定，則市場監督機構可以根據具體風險大小，要求經濟運營者對其產品進行整改、下架或召回。當市場監督機構認為違規行為不僅限于其國家領土時，有權通知歐盟委員會和其他成員國。

　　被監督主體包括制造商、授權代表、進口商、分銷商或任何其他須履行該法案規定義務的自然人或法人。該法案對經濟運營者進行了具體劃分，針對不同類型的主體施加不同的義務。如果對產品是否符合《網絡彈性法案》有合理的擔憂，市場監督機構可以要求制造商、進口商和分銷商提供評估設計、開發、生產和漏洞處理所需的所有數據，包括但不限于相關的內部文件，以證明產品符合《網絡彈性法案》的要求。

　　2、制造商和進口商

　　制造商和進口商投放到歐盟市場的數字產品必須符合法案規定的基本網絡安全要求，以確保相關產品具備適當的網絡安全水平，且沒有可被利用的漏洞。制造商是指開發或制造數字產品，或以其名義或商標設計、開發、制造和銷售這些產品的任何主體。進口商是指在歐盟設立，將數字產品投放到歐盟市場，并且該數字產品帶有在歐盟以外設立的自然人或法人名稱或商標的自然人或法人。對制造商和進口商的總體要求包括：如果進口商和分銷商發現數字產品存在漏洞，應立即通知制造商;如果產品存在重大網絡安全風險，則需要立即通知產品銷售地所在成員國的市場監督機構;進口商和分銷商需要確保數字產品已附有適當的易于理解的說明和信息，以確保用戶安全使用;當進口商或分銷商發現數字產品的制造商無法遵守《網絡彈性法案》中規定的義務時，應通知相關市場監督機構，并在可能的情況下通知產品用戶。

　　2.1 制造商具體義務

　　除了對制造商和進口商的通用義務要求外，制造商還應滿足一下要求：

　　第一，應確保產品是按照《網絡彈性法案》中規定的基本網絡安全要求設計、開發和生產的;產品具備基于風險的適當的網絡安全水平;產品交付時沒有任何已知的可利用漏洞。

　　第二，為履行上述義務，制造商應對與其產品相關的網絡安全風險進行評估，并在產品的規劃、設計、開發、生產、交付和維護過程中考慮其結果，從而最大限度地降低網絡安全風險，防止發生安全事故并盡量減少其影響，包括對用戶健康和安全的影響。此外，制造商在集成來自第三方的組件時必須盡職盡責，以確保這些組件不會危及產品的安全性。

　　第三，必須以與性質和網絡安全風險相稱的方式系統地記錄相關的網絡安全事項。

　　第四，產品投放歐盟市場時，技術文檔中必須包含網絡安全風險評估。

　　第五，制造商必須確保產品的漏洞在預期的產品生命周期內或從投放市場算起的五年內(以較短者為準)得到有效處理。

　　第六，在將產品投放市場之前，制造商必須起草技術文檔，該文檔必須包含所有相關數據并且必須不斷更新;進行產品質量評估;確保產品滿足歐盟符合性聲明，并為產品張貼CE標志;產品隨附清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。

　　第七，制造商需要制定適當的政策和程序以處理和修復潛在的漏洞。

　　第八，制造商還可以選擇任命一名授權的歐盟代表，以履行制造商的某些義務。第九，制造商負有報告義務，如果產品中包含任何被活躍利用的漏洞或任何事件對產品的安全性產生影響，制造商需要在發現上述情況后的24小時內，立即向歐盟網絡安全機構(European Union Agency for Cybersecurity，ENISA)報告此情況，不得無故拖延。

　　此外，在識別組件中的漏洞后，制造商需要將漏洞報告給維護組件的個人或實體。制造商的義務適用于其他主體，如果自然人或法人對產品進行重大修改，則應將其視為《網絡彈性法案》規定的制造商，并承擔制造商的義務。如果進口商或分銷商以其名稱或商標將數字產品投放到歐盟市場，則應被視為《網絡彈性法案》中的制造商，并受制造商義務的約束。

　　2.2 進口商具體義務

　　除上述對制造商和進口商通用性義務要求外，進口商還應履行以下具體義務：

　　第一，在將產品投放市場之前，進口商必須確保：制造商已進行產品質量評估;制造商已起草技術文件;產品帶有CE標志;產品附有清晰、易懂、可理解和易讀的信息和說明，以確保用戶安全地安裝、操作和使用。

　　第二，進口商不得將他們認為不符合《網絡彈性法案》規定的基本網絡安全要求的產品投放市場。

　　第三，進口商必須在數字產品的包裝或產品隨附文件中標明其名稱、注冊商號或注冊商標、郵政地址和可以聯系到他們的電子郵件地址。聯系方式應使用用戶和市場監督機構易于理解的語言。

　　第四，在數字產品投放市場后的十年內，進口商必須保留一份歐盟符合性聲明的副本，以供市場監督機構使用。

　　3、經銷商

　　經銷商是供應鏈中除制造商或分銷商之外的，向歐盟市場提供數字產品的任何自然人或法人。在將數字產品投放到市場上時，經銷商必須根據《網絡彈性法案》的要求謹慎行事。在銷售產品之前，經銷商需要確保產品帶有CE標志、制造商已隨附信息和說明以及歐盟符合性聲明，并確保進口商已在產品或其包裝上標明其名稱、注冊商號或注冊商標以及聯系地址。

　　三、

　　歐盟將網絡安全的范圍擴大到整個產業鏈。隨著軟件產業的快速發展，軟件產業鏈也越發復雜多元，復雜的軟件產業鏈會引入一系列的安全問題，導致信息系統的整體安全防護難度越來越大。近年來，針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢，造成的危害也越來越嚴重。而歐盟的《網絡彈性法案》更是將與之配套的硬件產業鏈也囊取其中，涵蓋了市場上所有含有數字元素的產品。

　　歐盟委員會意識到，只有整個產業鏈供應鏈的所有組件都安全時，整個產業鏈供應鏈的網絡安全才能得到保證。歐盟在《網絡彈性法案》也明確提出為了便于進行脆弱性分析，制造商應使用數字元素識別和記錄產品中包含的組件，包括起草軟件材料清單。軟件材料清單可以為制造、購買和操作軟件的人提供信息，以增強他們對供應鏈的理解，這有多種好處，最明顯的是，它幫助制造商和用戶跟蹤已知的新出現的漏洞和風險。

　　與之對應的，美國商務部下屬的國家電信和信息管理局(NTIA)在研究SBOM項目的范圍時提出，“應考慮所有使用或生產軟件的行業，包括汽車、金融、醫療保健、運營技術(OT)和傳統 IT。盡管該項目的重點是軟件而非硬件，但軟件本身是不會運行的。一個軟件系統不僅需要傳統的計算硬件(如CPU、內存、磁盤、網絡等)，也可能包括使設備實際運作的功能硬件，如執行器和傳感器”。同樣是涵蓋了軟硬件的全部產業鏈供應鏈。

　　四、總結

　　由此可以看出歐盟的《網絡彈性法案》對具有數字元素和相應嵌入式軟件的有形產品進行了規制，適用的經濟經營者在范圍上實現了對產業鏈的全覆蓋，包括AI以及具有該法規含義內數字元件的產品的機械產品，從而保障產業鏈供應鏈的整體安全性提升。

　　對于我國來看，著力提升產業鏈供應鏈安全水平是構建新發展格局和推動高質量發展的主要內容，也是健全國家安全體系和增強維護國家安全能力的重要組成。結合歐盟以及美國最新頒布的政策法規，建立最小物料清單可能是一個值得借鑒與參考的方法，由此可以提升產業鏈供應鏈韌性和產品安全水平，對于維護我國網絡安全及規范相關市場主體行為，實現長期穩定發展，應對復雜國際形勢有著重要意義。