《网络弹性法案》(Cyber Resilience Act,CRA)标志着互联产品在设计、制造与维护方面迎来重大转变。安全已从一项可选功能转变为核心要求,互联设备制造商在安全设计、漏洞管理与长期更新支持方面将面临全新要求。
本页面简要介绍了CRA,并展示 Nordic 的 nRF Cloud 芯片‑云平台如何为您提供所需工具与基础架构,帮助您安心开发、保持合规,并在设备全生命周期内保障设备集群安全。
什么是《网络弹性法案》?
欧盟《网络弹性法案》(CRA)是欧盟最新、也是适用范围最广的数字产品相关法规,这表明立法机构正在紧跟快速发展的物联网行业。该法案指出,硬件和软件产品越来越容易遭受成功的网络攻击,据估算,到 2021 年,网络犯罪给全球造成的年度损失已达55 万亿欧元。同时,这类产品往往网络安全水平较低,而用户在选择安全产品并安全使用方面,也缺乏足够的认知与信息。
法案的目标是缓解这些问题,对所有在欧盟境内销售的带数字组件的产品(包括硬件和软件)强制实施网络安全要求。这些新要求不仅针对产品上市时的状态,还针对产品整个预期生命周期内的漏洞处理和安全更新制定了严格标准,在产品部署后很长时间内,仍会给制造商、进口商和分销商带来重大且持续的责任。
产品要符合 CRA 法规,必须满足法案中列出的基本网络安全要求,并建立漏洞处理流程。除非受欧盟其他专项法规(医疗、航空、军用或汽车设备)覆盖,否则这些要求适用于所有带数字组件的产品。不合规将导致产品下架或召回,并面临高额经济处罚。
《网络弹性法案》已于2024 年 12 月生效,同时设置了三年过渡期供企业调整适应,因此法案的主要义务将于 2027 年 12 月正式实施。不过,企业从2026 年 9 月 11 日起就需要遵守漏洞与事件上报的相关要求。
哪些主体会受到《网络弹性法案》的影响?
《网络弹性法案》(CRA)的适用范围非常广泛,涵盖几乎所有带有数字组件、且能够直接或间接连接到网络或其他设备的硬件与软件的制造商、进口商和经销商。
制造商对确保产品安全设计并支持安全更新承担最主要责任;但该法案同时也为进口商与经销商设定了重大责任,要求其在欧盟市场销售产品前,必须核查并保证产品符合 CRA 要求,并具备完备的合规文件。
这些法规正在影响物联网生态系统的各个环节。Nordic 作为向设备厂商提供硬件、软件与服务的供应商,会直接受到 CRA 影响,需要确保我们的硬件与软件组件满足CE 标识的相关要求;而使用我们方案的设备制造商同样会受到影响,他们需要集成简洁易用的解决方案来满足 CRA 合规需求。
对产品开发意味着什么
制造商有责任确保带数字组件的产品满足《网络弹性法案》(CRA)附录 I中列出的基本网络安全要求,该要求既涵盖数字产品本身的属性,也包括产品全生命周期内的漏洞处理流程。
安全设计与维护
产品在设计和交付时必须不存在已知漏洞,并遵循核心安全原则,包括:
- 缩小攻击面,采用安全默认配置
- 保护数据的机密性与完整性(含加密)
- 确保具备抵御中断、攻击和服务降级的弹性能力
- 提供安全、及时的安全更新,并支持长期维护
漏洞处理
制造商必须建立清晰的漏洞管理流程,包括:
- 对组件进行文档记录(含软件物料清单 SBOM)
- 立即处理并修复漏洞
- 发布安全更新相关信息
- 提供清晰的漏洞上报渠道
如需全面了解如何遵守《网络弹性法案》(CRA),我们建议直接查阅法案原文。
nRF Cloud 如何助力您满足《网络弹性法案》(CRA)合规要求
物联网行业面临的最大变革,并非打造安全设备的相关要求,而是设备必须在其整个预期生命周期内保持安全这一强制性规定。这使得制造商、经销商与进口商在产品部署后,仍需长期承担相应责任:他们必须能够监测并发现安全问题,并在合理时限内完成修复。
Nordic 的云服务 nRF Cloud 提供升级基础设施与设备集群可视性,可帮助制造商满足《网络弹性法案》(CRA)新增的部分要求,尤其是与全生命周期安全升级及漏洞处理相关的合规条款。
安全 OTA 固件升级
《网络弹性法案》要求制造商在产品整个生命周期内提供及时的安全更新并修复漏洞 >> nRF Cloud 支持对全部设备集群进行安全、可靠的OTA 升级,轻松推送补丁并保持设备合规。
持续设备集群监控与问题检测
《网络弹性法案》要求主动进行漏洞处理并持续监控潜在风险 >> nRF Cloud 提供实时设备健康状态分析、事件日志与问题检测,帮助您及早发现潜在漏洞并快速响应。
生命周期透明性与文档支持
制造商必须向用户提供清晰的网络安全信息,并保留升级与漏洞记录 >> nRF Cloud 的升级审计日志、关联 SBOM 的版本追踪以及设备清单,可帮助您证明合规性并记录安全状态。
开始使用 nRF Cloud
无论您是准备为满足《网络弹性法案》(CRA)合规要求而增强 OTA 功能、推出新产品,还是对现有设备进行升级,nRF Cloud 都能帮助您打造安全、可维护且合规的互联产品。