TTC-電信技術中心全球資訊網

歐盟執委會於2022年9月15日提出資安韌性法草案(Cybersecurity Resilience Act, CRA)，規範標的為所有進入歐盟市場之智慧聯網(IoT)設備，包含軟、硬體部分，基於安全始於設計 (security-by-design)，將設備依重要性進行分級，並訂定關鍵設備(critical products)資安規範，以及資安定期檢測與標章取得之規定，以落實「資安零信任」原則。歐盟執委會副主席Margaritis Schinas更表示，期望此一新立法不限於歐盟市場，而是成為物聯網設備之世界通用標準。                                           

    歐盟最新網路韌性法草案(CRA)立法理由中說明市場充斥大量具資安風險之物聯網設備，截至2021年為止，相關之網路犯罪造成全球損失總額約五兆五千億歐元，歸因於缺少適當且全球一致性之規範，且利害關係人缺乏資安意識。本草案係針對物聯網設備及產品制定通用性規範，以下說明主要重點:

一、規範對象

    CRA草案中明確規範各物聯網設備之營運相關者，包含：開發商、進口商以及經銷商，於其產品之生命週期內，所需遵守之各項安全責任與義務。

二、風險分級

    CRA草案要求未來所有IoT產品在歐盟市場上市前需符合基本資安規範外，重要性較高之關鍵設備區分為第一級(Class I)與第二級(Class II)，並訂定不同的資安要求:

1.第一級：包括身份管理系統、瀏覽器、密碼管理器、防病毒軟件、防火牆、虛擬專用網絡 (VPN)、網路管理系統、物理網路截點、路由器與符合NIS2 Directive所規定的基本實體晶片。第一級涵蓋第二級與工業物聯網相關之操作系統、微處理器等。

2.第二級：包含移動設備、虛擬化操作系統、數位證書授予者、微處理器、讀卡器、機器人感測器、智慧電錶和所有工業物聯網使用之路由器和防火牆，即所謂的敏感環境。

三、資安檢測與標章

    CRA草案要求製造商必須通過內部自我資安控管，或由指定機構對其產品進行符合歐盟規格之檢驗。

    進口商和經銷商需檢視製造商的相關程序和設備是否符合歐洲合格認證 (CE標章)之義務，尤其第一級與第二級關鍵設備之製造商更應遵循特定的程序及規範。除關鍵產品應取得相對應之安全檢測與驗證標章外，製造商亦應定期受檢測並更新產品以保持最佳安全防護。 但若製造商已具備歐盟規範符合聲明，或歐洲安全認證計劃證書則可免經第三方檢驗。

四、主管機關

    歐盟成員國應建立合格第三方驗證機構，與市場監督主管機關，該機關亦得由依NIS2 指令建立的網路安全機構擔任，執行抽查，與協調特定控管，以保障物聯網產品之合規性。若產品不合規範，主管機關得禁止該產品進入歐盟市場。

五、資安通報

    CRA草案訂有物聯網設備之資安事件通報流程相關規定，未來製造商於規定時限內，將具資安風險之產品或已發生之資安事件儘速通報予主管機關，以有效控制風險。

六、罰則

    若違反上述規範之設備供應商，將處以最高1.500萬歐元之罰鍰，或公司總年營收之2.5%。

    CRA草案後續須經歐盟議會及歐盟理事會討論並決議通過後，經二年緩衝期始正式成為歐盟法規並全面施行，但有關製造商之責任與通報義務，僅有12個月之緩衝期，即須生效實施。