美國網路信任標誌,下一步是什麼?
説明創建全球網路安全基線。 考慮與其他人相互承認 (包括歐盟和日本在內的地區)
專注于網路安全基礎:
Security-by-design (安全設計)
Transparency for consumers (消費者的透明度)
Security updatability(安全可更新性)
International harmonization (國際調和)
下一步是什麼:
FCC 發佈公告、收集意見並最終確定計劃規則;
FCC 定義認證範圍(CLA 的 ISO 17065 和 CyberLAB 的 ISO 17025);
CLA 和 CyberLAB 申請並獲得所需的認證;
製造商為測試和檔要求做準備 (NISTIR 8425);
製造商與公認的 CLA(以及 CyberLAB,如果可以獲得認證)合作,以產品應用與測試;
ETSI 與 CENELEC 標準化進展;
其他標準化方向:
環境特性:要求標準中明確 “設備預期用途” 作為最低合規水準,支援擴展性能測試,EMC 工作組正在討論具體方案;
緊急呼叫(RED Article 3.3 (g)):暫未計畫制定協調標準,建議製造商參考ETSI TS 103 625 V1.3.1。
CENELEC(歐洲電工標準化委員會)標準更新(網路安全)
舊標準狀態:EN 18031-x 系列標準不再更新,相關內容移交 CRA 標準體系。
CRA 標準規劃:參與人員:約300 人參與標準制定;
時間節點:
橫向標準(通用網路安全要求):預期2026 年 8 月完成;
縱向標準(行業特定要求):預期2027 年 10 月完成;
CRA 全面生效時間:2027 年 12 月 11 日;
挑戰:需嚴格遵守時間節點,確保與 RED 網路安全條款廢除計畫銜接。
關鍵問題 —— 資訊安全
歐盟 RED 網路安全要求與 CRA(網路安全法案)的銜接時間線是什麼?製造商需如何應對這一過渡階段的合規要求?
銜接時間線:
1、RED 網路安全要求已於2025 年 8 月 1 日生效,製造商需按此要求完成設備合規;
2、歐盟計畫從2027 年 12 月 11 日起廢除 RED 中的網路安全條款,相關合規職責全面移交 CRA;
3、CRA 標準制定同步推進:橫向標準(通用要求)預期2026 年 8 月完成,縱向標準(行業特定要求)預期2027 年 10 月完成,確保 2027 年 12 月前具備實施條件。
製造商應對措施:
短期(2025.8-2027.12):嚴格遵守 RED 現有網路安全要求,提交合規文檔時需明確非協調標準(如 EN 303 645)與 RED 要求的對應關係,避免依賴公告機構梳理邏輯;
中期(2026.8 後):跟蹤 CRA 橫向標準發佈,提前評估產品對通用網路安全要求的適配性;
長期(2027.10 後):根據 CRA 縱向標準(針對無線電設備的特定要求)調整產品設計,確保 2027 年 12 月後符合 CRA 全面生效後的合規要求。
RED 指令網路安全要求:過渡階段的 “合規核心與實操痛點”
RED 指令(無線電設備指令)中 Article 3.3D/E/F 是當前歐盟無線設備網路安全的核心依據,Michael Darby 的解讀重點在於 “明確 scope(適用範圍)” 與 “厘清責任邊界”,解決製造商最易困惑的 “是否要做、做什麼、誰負責” 問題。
Darby 通過 “場景化案例” 替代 “抽象定義”,明確了三大條款的適用邊界:
CRA
▶ CRA 法規:2027 年後的 “系統性變革與合規邏輯重構”
▶ CRA(網路安全法)是歐盟網路安全合規的 “終極框架”,將取代 RED 的網路安全要求,Michael 與 Steve 的解讀重點在於 “示 CRA 與 RED 的差異”“提前佈局過渡期準備”,核心是從 “一次性測試” 轉向 “全生命週期安全管理”。
A) CRA 與 RED 的 “本質差異”:從 “產品合規” 到 “生態合規”
B) CRA 的 “分級合規體系”:精准識別風險,避免 “一刀切”
CRA 的核心創新是 “按風險分級”,不同類別設備合規要求差異顯著,製造商需先明確產品歸屬,再制定合規策略:
1. 默認類別(基礎風險):
適用場景:無敏感性資料處理、無聯網功能的簡單設備(如普通藍牙滑鼠);
合規要求:自我評估,符合基礎安全標準(如預設密碼強制修改),無需公告機構介入。
2. Class 1(中等風險):
適用場景:聯網但無高敏感功能的設備(如普通智慧燈泡);
合規要求:有協調標準則自我聲明,無標準則需公告機構評估(如驗證資料傳輸加密強度)。
3. Class 2(高風險):
適用場景:含敏感元件(防篡改晶片、防火牆)、處理個人敏感性資料的設備(如智慧門鎖、醫療監護設備);
合規要求:強制公告機構評估,需提供 “安全設計文檔”“漏洞回應流程”,且需定期提交漏洞報告。
4. 關鍵類別(極高風險):
適用場景:涉及公共安全、關鍵基礎設施的設備(如電網無線監控設備);
合規要求:遵循歐盟 ANSSI(網路安全機構)制定的專項認證方案,需通過更嚴格的滲透測試、抗攻擊測試。
C). 過渡期(2025-2027)的 “關鍵動作”:避免 “被動應對”CRA 合規需 “提前佈局”,而非等待 2027 年生效,核心準備動作包括:
1、2026 年漏洞報告體系搭建(優先項):
CRA 要求 2026 年 9 月起,製造商需將漏洞資訊上報至歐盟統一資料庫,且需使用 CSAF(網路安全評估框架)格式實現 “機器可讀”;
準備動作:建立 “漏洞監控團隊”,對接開源漏洞庫(如 CVE),制定 “漏洞分級回應流程”(如高危漏洞 24 小時內修復)。
2、SBOM(軟體物料清單)管理能力建設:
CRA 要求製造商掌握產品所有軟體元件的來源、版本、供應商,以便快速定位上游漏洞(如某開源庫存在漏洞時,可立即排查是否使用);
準備動作:在研發階段嵌入 SBOM 生成工具(如 SPDX 格式),與軟體供應商簽訂 “漏洞告知協議”,確保上游漏洞及時同步。
3、RED 與 CRA 的 “合規銜接”:
RED 下的 EN18031 標準測試(如資料加密、身份認證)可部分複用至 CRA,避免重複測試;
準備動作:留存 RED 測試的完整文檔(如滲透測試報告、加密演算法驗證記錄),作為 CRA 合規的 “前期證據”。
時間節點與過渡:CRA 部分義務(如漏洞報告)自 2026 年 9 月 11 日起生效,全面生效時間為 2027 年 12 月 11 日,屆時 RED 的網路安全要求將終止,RED 授權法案預計同時廢除。2027 年 12 月 11 日前,無線電設備需符合 RED 的安全、EMC、無線電及網路安全要求;之後,需符合 RED 的安全、EMC、無線電要求及 CRA 的網路安全要求,且相關合規聲明需整合在同一 DOC 中。
適用範圍與分類:CRA 適用於含數位元件(包括軟體)的產品,範圍遠超無線電設備,涵蓋純有線設備、非嵌入式軟體、非無線電元件等。設備分為預設類別(基礎要求,自我評估即可)、1 類(無協調標準時需公告機構評估,有則可自我聲明)、2 類(含防篡改微處理器、防火牆等,需公告機構評估)、關鍵類別(需遵循特定認證方案,可能由歐盟網路安全機構 ANSSI 制定)。
