在线日韩女同,久久久久久久久久爽,欧美日高啪在线精视频,国产av美女被我操,玖玖视频在线观看免费,日韩乱人伦Av,九色高潮视频在线播放,青青re在线视频,大鸡巴在线视频网

近日，歐洲議會投票通過了《網(wǎng)絡(luò)安全彈性法案（CRA）》，以保護(hù)歐盟的所有數(shù)字產(chǎn)品免受網(wǎng)絡(luò)威脅。其中，物聯(lián)網(wǎng)產(chǎn)品是該法案適用范圍“數(shù)字產(chǎn)品”的重要組成部分，未來該法案實(shí)施后，物聯(lián)網(wǎng)產(chǎn)品將面臨著新的要求。

筆者近期圍繞海外發(fā)達(dá)經(jīng)濟(jì)體針對物聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全出臺的一些法案和政策進(jìn)行跟蹤研究，包括美國物聯(lián)網(wǎng)安全標(biāo)簽計劃、日本物聯(lián)網(wǎng)安全標(biāo)簽計劃、歐盟《數(shù)據(jù)法案》、英國《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》以及新加坡、德國、芬蘭等國開展的物聯(lián)網(wǎng)安全標(biāo)簽計劃，可以看出，對物聯(lián)網(wǎng)產(chǎn)品安全采取統(tǒng)一的措施已成為共識，尤其是針對物聯(lián)網(wǎng)安全基線形成全國統(tǒng)一規(guī)范非常重要?！毒W(wǎng)絡(luò)安全彈性法案》作為全球首個面對數(shù)字產(chǎn)品安全的專門法案，其中很多做法和思路值得參考。

法案適用范圍：物聯(lián)網(wǎng)產(chǎn)品是典型

《網(wǎng)絡(luò)安全彈性法案》旨在建立整個供應(yīng)鏈的基準(zhǔn)產(chǎn)品安全法規(guī)，涵蓋從開發(fā)到報廢的產(chǎn)品生命周期，該法案將適用于在歐盟境內(nèi)銷售的各種軟件和互聯(lián)產(chǎn)品。

法案提出其適用于在歐盟市場上銷售的“帶有數(shù)字元素的產(chǎn)品”，這類產(chǎn)品無論原產(chǎn)地在哪里，也無論該產(chǎn)品是否免費(fèi)提供，只要在歐盟市場上，都適用于該法案。

法案對于“帶有數(shù)字元素的產(chǎn)品”做了初步解釋，即包括軟件以及與其他設(shè)備或網(wǎng)絡(luò)直接或間接連接的軟硬件產(chǎn)品。法案提出典型的產(chǎn)品包括獨(dú)立軟件以及物聯(lián)網(wǎng)產(chǎn)品、操作系統(tǒng)或其他有形設(shè)備，如電視、筆記本電腦、嬰兒監(jiān)視器、智能家居等。

法案也提出了一些不適用的范疇，例如，一些網(wǎng)站和云服務(wù)方案（如SaaS服務(wù)）如果不支持遠(yuǎn)程處理“帶有數(shù)字元素的產(chǎn)品”或不是這些產(chǎn)品的功能，就不納入法案的范疇。

當(dāng)然，法案適用于支持這些數(shù)字元素產(chǎn)品運(yùn)行的遠(yuǎn)程數(shù)據(jù)處理解決方案，例如物聯(lián)網(wǎng)產(chǎn)品的移動應(yīng)用程序；同時，法案也適用于集成到數(shù)字元素產(chǎn)品中的軟件和硬件組件。

在商業(yè)活動之外開發(fā)的開源軟件不在該法案的適用范圍之內(nèi)。法案指出，自由和開放源碼的軟件將受到寬松監(jiān)管制度的約束。

另外，法案也不適用于某些已經(jīng)有部門立法的產(chǎn)品，例如醫(yī)療器械、機(jī)動車、海事和航空設(shè)備，也不適用于專門為國家安全或國防開發(fā)的數(shù)字產(chǎn)品。

基本網(wǎng)絡(luò)安全要求

《網(wǎng)絡(luò)安全彈性法案》為制造商的數(shù)字產(chǎn)品制定了一套必須遵守的基本安全要求。這些要求旨在通過從一開始就解決關(guān)鍵的安全漏洞來最大限度地降低網(wǎng)絡(luò)安全風(fēng)險?；镜陌踩蟀ǎ?/p>

• 默認(rèn)安全配置：產(chǎn)品必須帶有默認(rèn)安全配置，允許用戶在必要時輕松將其重置為初始狀態(tài)。

• 防止未經(jīng)授權(quán)的訪問：必須建立適當(dāng)?shù)目刂茩C(jī)制，包括認(rèn)證、身份或訪問管理系統(tǒng)。

• 加密：無論是在靜止?fàn)顟B(tài)還是在傳輸過程中，產(chǎn)品存儲、傳輸或處理的數(shù)據(jù)必須通過加密進(jìn)行保護(hù)，以保護(hù)其機(jī)密性。

• 完整性：產(chǎn)品存儲、傳輸或處理的數(shù)據(jù)以及命令、程序和配置必須得到保護(hù)，以防未經(jīng)用戶授權(quán)的操縱或修改。

• 數(shù)據(jù)最小化：產(chǎn)品應(yīng)僅收集和處理對其預(yù)期用途絕對必要的數(shù)據(jù)，盡量減少處理的個人或其他數(shù)據(jù)量。

• 有效性：基本功能必須能夠抵御拒絕服務(wù)攻擊。

• 攻擊面限制：產(chǎn)品應(yīng)設(shè)計有限的攻擊面，最大限度地減少網(wǎng)絡(luò)攻擊的潛在切入點(diǎn)。

• 漏洞管理：必須建立機(jī)制，以便能夠及時有效地修補(bǔ)漏洞，應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)安全威脅。

對制造商的要求

法案提出制造商必須開發(fā)、生產(chǎn)和銷售具有與風(fēng)險相適應(yīng)的“基本網(wǎng)絡(luò)安全要求”的產(chǎn)品。此外，制造商還必須建立流程和文件來驗證其產(chǎn)品是否符合法案要求的。主要包括：

1、產(chǎn)品安全要求

網(wǎng)絡(luò)安全風(fēng)險評估：制造商必須進(jìn)行與產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險評估，且風(fēng)險評估必須在支持期內(nèi)更新，并在整個產(chǎn)品生命周期中予以考慮。

漏洞管理：產(chǎn)品必須在沒有已知可利用漏洞的情況下在市場上提供，若發(fā)現(xiàn)漏洞必須立即為漏洞提供安全更新，并公開披露補(bǔ)救的漏洞。安全更新必須在至少10年或支持期的剩余時間內(nèi)保持可用，以較長者為準(zhǔn)，同時制造商必須記錄其了解到的相關(guān)產(chǎn)品漏洞。

支持期限：支持期應(yīng)符合預(yù)期使用時間，但必須至少為五年。用戶在購買時必須能夠明確了解支持期的結(jié)束時間，包括月份和年份。

軟件材料清單：制造商必須確定并記錄產(chǎn)品組件和漏洞，包括起草至少包含產(chǎn)品主要依賴項的軟件材料清單。

測試：制造商必須定期測試產(chǎn)品安全性。

漏洞報告：制造商必須在24小時內(nèi)向其指定的歐盟成員國計算機(jī)安全事故響應(yīng)小組（CISRT）報告任何被惡意行為者利用的產(chǎn)品漏洞。然后，制造商必須在72小時內(nèi)提交一份總體跟進(jìn)報告，并在緩解措施出臺后14天內(nèi)提交一份詳細(xì)報告。除特殊情況外，這些漏洞報告將轉(zhuǎn)發(fā)給產(chǎn)品上市所在成員國的其他安全事故響應(yīng)小組和市場監(jiān)管機(jī)構(gòu)。同時，制造商還必須將事故通知其用戶。

協(xié)同漏洞披露：制造商必須建立協(xié)調(diào)的漏洞披露政策，并為第三方提供聯(lián)系地址以報告產(chǎn)品中的漏洞。當(dāng)制造商發(fā)現(xiàn)產(chǎn)品軟件或硬件組件中的漏洞時，必須向負(fù)責(zé)該組件的一方報告漏洞。

2、證明產(chǎn)品一致性

技術(shù)文檔：制造商必須創(chuàng)建和維護(hù)技術(shù)文件，以證明其產(chǎn)品符合法案的基本安全要求。技術(shù)文檔必須在產(chǎn)品投放市場之前完成，并應(yīng)在產(chǎn)品支持期間不斷更新。

符合性評估：在將產(chǎn)品投放市場之前，制造商必須對產(chǎn)品進(jìn)行符合性評估，以確保符合安全要求。法案對產(chǎn)品安全做了分級，主要包括：

• 未分類或默認(rèn)級別：這一大類包括大多數(shù)帶有數(shù)字元素的產(chǎn)品，制造商可以自我評估是否符合安全要求。

• 第一類和第二類（Classes I and II）：該級別被認(rèn)為是“重要”的數(shù)字產(chǎn)品，這些產(chǎn)品必須經(jīng)過第三方合格評估，它們可以適用統(tǒng)一標(biāo)準(zhǔn)或統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證計劃。第一類和第二類產(chǎn)品具有網(wǎng)絡(luò)安全相關(guān)功能，如果被破壞，其功能會帶來重大負(fù)面影響風(fēng)險。

• “關(guān)鍵”的數(shù)字產(chǎn)品：該類別包括被認(rèn)為是基本服務(wù)關(guān)鍵依賴項的產(chǎn)品，如智能卡或具有安全元件的類似設(shè)備、智能計量系統(tǒng)以及用于高級安全目的的其他設(shè)備。

數(shù)字產(chǎn)品完成符合性評估后，制造商必須起草一份符合性聲明以補(bǔ)充技術(shù)文件，并將這些記錄保存十年或支持期內(nèi)（以較長者為準(zhǔn)）。此外，數(shù)字產(chǎn)品必須具有CE標(biāo)志，以表明產(chǎn)品在進(jìn)入市場之前符合法案標(biāo)準(zhǔn)。這一要求可以視作強(qiáng)制性的安全標(biāo)簽計劃。

同時，法案還對進(jìn)口商和分銷商提出相關(guān)要求，例如包括對制造商的產(chǎn)品進(jìn)行盡職調(diào)查、發(fā)現(xiàn)漏洞后及時通知制造商、向歐洲當(dāng)局告知重大風(fēng)險、保留記錄以及售后責(zé)任等。

對不合規(guī)行為的處罰

法案規(guī)定，對于未能遵守法案中提出的漏洞報告、網(wǎng)絡(luò)事件報告或基本網(wǎng)絡(luò)安全要求的公司，可能面臨高達(dá)1500萬歐元或其全球營業(yè)額2.5%的行政罰款，以較高者為準(zhǔn)。

未能遵守多項其他義務(wù)的公司，可能會被處以最高1000萬歐元的行政罰款，或其全球營業(yè)額的2%，以較高者為準(zhǔn)。

同時，那些向執(zhí)法機(jī)構(gòu)或國家網(wǎng)絡(luò)事件響應(yīng)小組提供誤導(dǎo)性信息可能導(dǎo)致500萬歐元的罰款，或全球營業(yè)額的1%，以較高者為準(zhǔn)。

在某些情況下，歐盟成員國當(dāng)局可以要求廠商從歐盟市場召回或撤出不合規(guī)產(chǎn)品。

《網(wǎng)絡(luò)安全彈性法案》實(shí)施日期之前，歐盟將制定統(tǒng)一標(biāo)準(zhǔn)，以更好地幫助制造商進(jìn)行一致性評估。一旦生效，制造商、進(jìn)口商和分銷商將有三年時間適應(yīng)新要求。中國是物聯(lián)網(wǎng)產(chǎn)品的生產(chǎn)和出口大國，大量數(shù)字產(chǎn)品出口歐洲，相關(guān)生產(chǎn)廠商需要高度重視，提前學(xué)習(xí)《網(wǎng)絡(luò)安全彈性法案》相關(guān)內(nèi)容，做好應(yīng)對。