中國(guó)信通院張俊霞：歐盟《網(wǎng)絡(luò)彈性法案》簡(jiǎn)介及借鑒意義

（CWW）近年來(lái)，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重。特別是在后疫情時(shí)代和數(shù)字化轉(zhuǎn)型時(shí)期，加強(qiáng)安全治理逐漸成為當(dāng)今世界各國(guó)加強(qiáng)立法治理的重要方向。在此背景下，2022年9月15日，歐盟委員會(huì)發(fā)布網(wǎng)絡(luò)安全法規(guī)提案《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act，CRA），該法案對(duì)歐盟的網(wǎng)絡(luò)安全提出了諸多的新要求，旨在加強(qiáng)歐盟數(shù)字產(chǎn)品的安全，整合現(xiàn)有安全監(jiān)管框架。

歐盟作為全球主要經(jīng)濟(jì)組織之一，其安全治理政策動(dòng)向往往具有風(fēng)向標(biāo)的作用。研究歐盟最新的軟件安全政策，對(duì)我國(guó)在新時(shí)期加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，完善網(wǎng)絡(luò)安全法律法規(guī)建設(shè)具有一定的借鑒意義。

(資料圖片)

一、《網(wǎng)絡(luò)彈性法案》的主要目標(biāo)

《網(wǎng)絡(luò)彈性法案》提出，該法案適用于所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品，其中數(shù)字產(chǎn)品包括“任何軟件或硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案，包括單獨(dú)投放市場(chǎng)的軟件或硬件組件”。同時(shí)，該法案將適用于這些產(chǎn)品從設(shè)計(jì)階段到淘汰階段的整個(gè)生命周期。供應(yīng)商需要提供這些產(chǎn)品的組件材料清單，以實(shí)現(xiàn)《網(wǎng)絡(luò)彈性法案》的立法目的?！毒W(wǎng)絡(luò)彈性法案》確定了兩個(gè)主要目標(biāo)，以確保歐洲市場(chǎng)的安全度提升和網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。一是創(chuàng)造安全產(chǎn)品開(kāi)發(fā)條件，確保硬件和軟件產(chǎn)品的安全漏洞減少，確保制造商認(rèn)真對(duì)待安全產(chǎn)品的生命周期管理；二是為用戶在選擇和使用數(shù)字產(chǎn)品時(shí)評(píng)估網(wǎng)絡(luò)安全創(chuàng)造條件。該法案制定了四個(gè)具體目標(biāo)：

1）確保制造商從設(shè)計(jì)和開(kāi)發(fā)階段開(kāi)始和整個(gè)生命周期改善數(shù)字元素產(chǎn)品的安全性；

2）確保連貫的網(wǎng)絡(luò)安全框架，促進(jìn)硬件和軟件生產(chǎn)商的合規(guī)；

3）提高數(shù)字產(chǎn)品安全屬性的透明度；

4）使企業(yè)和消費(fèi)者能夠安全地使用數(shù)字產(chǎn)品。

據(jù)估計(jì)，該舉措每年可導(dǎo)致影響安全的事故成本降低約1800億至2900億歐元，并將提高歐洲公司的全球聲譽(yù)，促進(jìn)歐盟產(chǎn)品對(duì)外銷售額的增長(zhǎng)。對(duì)于數(shù)字產(chǎn)品集成商來(lái)說(shuō)，這一法案將提高安全屬性的透明度，并便于使用帶有數(shù)字元素的產(chǎn)品。消費(fèi)者和公民也將受益，通過(guò)保護(hù)帶有數(shù)字元素的產(chǎn)品中信息的機(jī)密性、完整性和可用性，實(shí)現(xiàn)個(gè)人數(shù)據(jù)的安全，從而對(duì)用戶隱私和數(shù)據(jù)提供更高保護(hù)能力，更好匹配《通用數(shù)據(jù)保護(hù)條例》（GDPR）第2016/679號(hào)法規(guī)（EU）中的個(gè)人數(shù)據(jù)處理安全要求。

二、《網(wǎng)絡(luò)彈性法案》的責(zé)任主體及責(zé)任義務(wù)

1、監(jiān)督機(jī)構(gòu)

歐盟的《網(wǎng)絡(luò)彈性法案》規(guī)定，每個(gè)成員國(guó)應(yīng)至少任命一個(gè)市場(chǎng)監(jiān)督機(jī)構(gòu)，以確?！毒W(wǎng)絡(luò)彈性法案》的有效實(shí)施。市場(chǎng)監(jiān)督機(jī)構(gòu)在必要時(shí)可與其他國(guó)家當(dāng)局、其他成員國(guó)當(dāng)局或歐盟委員會(huì)合作。

當(dāng)市場(chǎng)監(jiān)督機(jī)構(gòu)有充分理由認(rèn)為數(shù)字產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，其會(huì)評(píng)估該產(chǎn)品是否符合該法案的規(guī)定。如果評(píng)估的結(jié)果是產(chǎn)品不符合法案規(guī)定，則市場(chǎng)監(jiān)督機(jī)構(gòu)可以根據(jù)具體風(fēng)險(xiǎn)大小，要求經(jīng)濟(jì)運(yùn)營(yíng)者對(duì)其產(chǎn)品進(jìn)行整改、下架或召回。當(dāng)市場(chǎng)監(jiān)督機(jī)構(gòu)認(rèn)為違規(guī)行為不僅限于其國(guó)家領(lǐng)土?xí)r，有權(quán)通知?dú)W盟委員會(huì)和其他成員國(guó)。

被監(jiān)督主體包括制造商、授權(quán)代表、進(jìn)口商、分銷商或任何其他須履行該法案規(guī)定義務(wù)的自然人或法人。該法案對(duì)經(jīng)濟(jì)運(yùn)營(yíng)者進(jìn)行了具體劃分，針對(duì)不同類型的主體施加不同的義務(wù)。如果對(duì)產(chǎn)品是否符合《網(wǎng)絡(luò)彈性法案》有合理的擔(dān)憂，市場(chǎng)監(jiān)督機(jī)構(gòu)可以要求制造商、進(jìn)口商和分銷商提供評(píng)估設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)和漏洞處理所需的所有數(shù)據(jù)，包括但不限于相關(guān)的內(nèi)部文件，以證明產(chǎn)品符合《網(wǎng)絡(luò)彈性法案》的要求。

2、制造商和進(jìn)口商

制造商和進(jìn)口商投放到歐盟市場(chǎng)的數(shù)字產(chǎn)品必須符合法案規(guī)定的基本網(wǎng)絡(luò)安全要求，以確保相關(guān)產(chǎn)品具備適當(dāng)?shù)木W(wǎng)絡(luò)安全水平，且沒(méi)有可被利用的漏洞。制造商是指開(kāi)發(fā)或制造數(shù)字產(chǎn)品，或以其名義或商標(biāo)設(shè)計(jì)、開(kāi)發(fā)、制造和銷售這些產(chǎn)品的任何主體。進(jìn)口商是指在歐盟設(shè)立，將數(shù)字產(chǎn)品投放到歐盟市場(chǎng)，并且該數(shù)字產(chǎn)品帶有在歐盟以外設(shè)立的自然人或法人名稱或商標(biāo)的自然人或法人。對(duì)制造商和進(jìn)口商的總體要求包括：如果進(jìn)口商和分銷商發(fā)現(xiàn)數(shù)字產(chǎn)品存在漏洞，應(yīng)立即通知制造商；如果產(chǎn)品存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，則需要立即通知產(chǎn)品銷售地所在成員國(guó)的市場(chǎng)監(jiān)督機(jī)構(gòu)；進(jìn)口商和分銷商需要確保數(shù)字產(chǎn)品已附有適當(dāng)?shù)囊子诶斫獾恼f(shuō)明和信息，以確保用戶安全使用；當(dāng)進(jìn)口商或分銷商發(fā)現(xiàn)數(shù)字產(chǎn)品的制造商無(wú)法遵守《網(wǎng)絡(luò)彈性法案》中規(guī)定的義務(wù)時(shí)，應(yīng)通知相關(guān)市場(chǎng)監(jiān)督機(jī)構(gòu)，并在可能的情況下通知產(chǎn)品用戶。

2.1 制造商具體義務(wù)

除了對(duì)制造商和進(jìn)口商的通用義務(wù)要求外，制造商還應(yīng)滿足一下要求：

第一，應(yīng)確保產(chǎn)品是按照《網(wǎng)絡(luò)彈性法案》中規(guī)定的基本網(wǎng)絡(luò)安全要求設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)的；產(chǎn)品具備基于風(fēng)險(xiǎn)的適當(dāng)?shù)木W(wǎng)絡(luò)安全水平；產(chǎn)品交付時(shí)沒(méi)有任何已知的可利用漏洞。

第二，為履行上述義務(wù)，制造商應(yīng)對(duì)與其產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并在產(chǎn)品的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、交付和維護(hù)過(guò)程中考慮其結(jié)果，從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，防止發(fā)生安全事故并盡量減少其影響，包括對(duì)用戶健康和安全的影響。此外，制造商在集成來(lái)自第三方的組件時(shí)必須盡職盡責(zé)，以確保這些組件不會(huì)危及產(chǎn)品的安全性。

第三，必須以與性質(zhì)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相稱的方式系統(tǒng)地記錄相關(guān)的網(wǎng)絡(luò)安全事項(xiàng)。

第四，產(chǎn)品投放歐盟市場(chǎng)時(shí)，技術(shù)文檔中必須包含網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

第五，制造商必須確保產(chǎn)品的漏洞在預(yù)期的產(chǎn)品生命周期內(nèi)或從投放市場(chǎng)算起的五年內(nèi)（以較短者為準(zhǔn)）得到有效處理。

第六，在將產(chǎn)品投放市場(chǎng)之前，制造商必須起草技術(shù)文檔，該文檔必須包含所有相關(guān)數(shù)據(jù)并且必須不斷更新；進(jìn)行產(chǎn)品質(zhì)量評(píng)估；確保產(chǎn)品滿足歐盟符合性聲明，并為產(chǎn)品張貼CE標(biāo)志；產(chǎn)品隨附清晰、易懂、可理解和易讀的信息和說(shuō)明，以確保用戶安全地安裝、操作和使用。

第七，制造商需要制定適當(dāng)?shù)恼吆统绦蛞蕴幚砗托迯?fù)潛在的漏洞。

第八，制造商還可以選擇任命一名授權(quán)的歐盟代表，以履行制造商的某些義務(wù)。第九，制造商負(fù)有報(bào)告義務(wù)，如果產(chǎn)品中包含任何被活躍利用的漏洞或任何事件對(duì)產(chǎn)品的安全性產(chǎn)生影響，制造商需要在發(fā)現(xiàn)上述情況后的24小時(shí)內(nèi)，立即向歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)（European Union Agency for Cybersecurity，ENISA）報(bào)告此情況，不得無(wú)故拖延。

此外，在識(shí)別組件中的漏洞后，制造商需要將漏洞報(bào)告給維護(hù)組件的個(gè)人或?qū)嶓w。制造商的義務(wù)適用于其他主體，如果自然人或法人對(duì)產(chǎn)品進(jìn)行重大修改，則應(yīng)將其視為《網(wǎng)絡(luò)彈性法案》規(guī)定的制造商，并承擔(dān)制造商的義務(wù)。如果進(jìn)口商或分銷商以其名稱或商標(biāo)將數(shù)字產(chǎn)品投放到歐盟市場(chǎng)，則應(yīng)被視為《網(wǎng)絡(luò)彈性法案》中的制造商，并受制造商義務(wù)的約束。

2.2 進(jìn)口商具體義務(wù)

除上述對(duì)制造商和進(jìn)口商通用性義務(wù)要求外，進(jìn)口商還應(yīng)履行以下具體義務(wù)：

第一，在將產(chǎn)品投放市場(chǎng)之前，進(jìn)口商必須確保：制造商已進(jìn)行產(chǎn)品質(zhì)量評(píng)估；制造商已起草技術(shù)文件；產(chǎn)品帶有CE標(biāo)志；產(chǎn)品附有清晰、易懂、可理解和易讀的信息和說(shuō)明，以確保用戶安全地安裝、操作和使用。

第二，進(jìn)口商不得將他們認(rèn)為不符合《網(wǎng)絡(luò)彈性法案》規(guī)定的基本網(wǎng)絡(luò)安全要求的產(chǎn)品投放市場(chǎng)。

第三，進(jìn)口商必須在數(shù)字產(chǎn)品的包裝或產(chǎn)品隨附文件中標(biāo)明其名稱、注冊(cè)商號(hào)或注冊(cè)商標(biāo)、郵政地址和可以聯(lián)系到他們的電子郵件地址。聯(lián)系方式應(yīng)使用用戶和市場(chǎng)監(jiān)督機(jī)構(gòu)易于理解的語(yǔ)言。

第四，在數(shù)字產(chǎn)品投放市場(chǎng)后的十年內(nèi)，進(jìn)口商必須保留一份歐盟符合性聲明的副本，以供市場(chǎng)監(jiān)督機(jī)構(gòu)使用。

3、經(jīng)銷商

經(jīng)銷商是供應(yīng)鏈中除制造商或分銷商之外的，向歐盟市場(chǎng)提供數(shù)字產(chǎn)品的任何自然人或法人。在將數(shù)字產(chǎn)品投放到市場(chǎng)上時(shí)，經(jīng)銷商必須根據(jù)《網(wǎng)絡(luò)彈性法案》的要求謹(jǐn)慎行事。在銷售產(chǎn)品之前，經(jīng)銷商需要確保產(chǎn)品帶有CE標(biāo)志、制造商已隨附信息和說(shuō)明以及歐盟符合性聲明，并確保進(jìn)口商已在產(chǎn)品或其包裝上標(biāo)明其名稱、注冊(cè)商號(hào)或注冊(cè)商標(biāo)以及聯(lián)系地址。

三、《網(wǎng)絡(luò)彈性法案》發(fā)揮的作用

歐盟將網(wǎng)絡(luò)安全的范圍擴(kuò)大到整個(gè)產(chǎn)業(yè)鏈。隨著軟件產(chǎn)業(yè)的快速發(fā)展，軟件產(chǎn)業(yè)鏈也越發(fā)復(fù)雜多元，復(fù)雜的軟件產(chǎn)業(yè)鏈會(huì)引入一系列的安全問(wèn)題，導(dǎo)致信息系統(tǒng)的整體安全防護(hù)難度越來(lái)越大。近年來(lái)，針對(duì)軟件供應(yīng)鏈的安全攻擊事件一直呈快速增長(zhǎng)態(tài)勢(shì)，造成的危害也越來(lái)越嚴(yán)重。而歐盟的《網(wǎng)絡(luò)彈性法案》更是將與之配套的硬件產(chǎn)業(yè)鏈也囊取其中，涵蓋了市場(chǎng)上所有含有數(shù)字元素的產(chǎn)品。

歐盟委員會(huì)意識(shí)到，只有整個(gè)產(chǎn)業(yè)鏈供應(yīng)鏈的所有組件都安全時(shí)，整個(gè)產(chǎn)業(yè)鏈供應(yīng)鏈的網(wǎng)絡(luò)安全才能得到保證。歐盟在《網(wǎng)絡(luò)彈性法案》也明確提出為了便于進(jìn)行脆弱性分析，制造商應(yīng)使用數(shù)字元素識(shí)別和記錄產(chǎn)品中包含的組件，包括起草軟件材料清單。軟件材料清單可以為制造、購(gòu)買和操作軟件的人提供信息，以增強(qiáng)他們對(duì)供應(yīng)鏈的理解，這有多種好處，最明顯的是，它幫助制造商和用戶跟蹤已知的新出現(xiàn)的漏洞和風(fēng)險(xiǎn)。

與之對(duì)應(yīng)的，美國(guó)商務(wù)部下屬的國(guó)家電信和信息管理局（NTIA）在研究SBOM項(xiàng)目的范圍時(shí)提出，“應(yīng)考慮所有使用或生產(chǎn)軟件的行業(yè)，包括汽車、金融、醫(yī)療保健、運(yùn)營(yíng)技術(shù)（OT）和傳統(tǒng) IT。盡管該項(xiàng)目的重點(diǎn)是軟件而非硬件，但軟件本身是不會(huì)運(yùn)行的。一個(gè)軟件系統(tǒng)不僅需要傳統(tǒng)的計(jì)算硬件（如CPU、內(nèi)存、磁盤(pán)、網(wǎng)絡(luò)等），也可能包括使設(shè)備實(shí)際運(yùn)作的功能硬件，如執(zhí)行器和傳感器”。同樣是涵蓋了軟硬件的全部產(chǎn)業(yè)鏈供應(yīng)鏈。

四、總結(jié)

由此可以看出歐盟的《網(wǎng)絡(luò)彈性法案》對(duì)具有數(shù)字元素和相應(yīng)嵌入式軟件的有形產(chǎn)品進(jìn)行了規(guī)制，適用的經(jīng)濟(jì)經(jīng)營(yíng)者在范圍上實(shí)現(xiàn)了對(duì)產(chǎn)業(yè)鏈的全覆蓋，包括AI以及具有該法規(guī)含義內(nèi)數(shù)字元件的產(chǎn)品的機(jī)械產(chǎn)品，從而保障產(chǎn)業(yè)鏈供應(yīng)鏈的整體安全性提升。

對(duì)于我國(guó)來(lái)看，著力提升產(chǎn)業(yè)鏈供應(yīng)鏈安全水平是構(gòu)建新發(fā)展格局和推動(dòng)高質(zhì)量發(fā)展的主要內(nèi)容，也是健全國(guó)家安全體系和增強(qiáng)維護(hù)國(guó)家安全能力的重要組成。結(jié)合歐盟以及美國(guó)最新頒布的政策法規(guī)，建立最小物料清單可能是一個(gè)值得借鑒與參考的方法，由此可以提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和產(chǎn)品安全水平，對(duì)于維護(hù)我國(guó)網(wǎng)絡(luò)安全及規(guī)范相關(guān)市場(chǎng)主體行為，實(shí)現(xiàn)長(zhǎng)期穩(wěn)定發(fā)展，應(yīng)對(duì)復(fù)雜國(guó)際形勢(shì)有著重要意義。

關(guān)鍵詞：