CRA 规定了企业需要满足哪些网络安全要求,但并没有详细说明如何实现。Harmonized Standards(协调标准)正在成为企业证明 CRA 合规的重要依据,也是 IoT OEM 未来需要重点关注的内容。
《网络韧性法案》(Cyber Resilience Act,CRA)为在欧盟市场销售的联网产品提出了统一的网络安全要求。但 CRA 本身更多规定的是企业需要达到什么目标,并不会详细说明每项要求应该如何实施。
为了帮助企业更好地落实 CRA,欧盟委员会已委托欧洲标准组织(CEN、CENELEC 和 ETSI)制定一系列 Harmonized Standards(协调标准),为企业提供更加明确的实施参考。对于 IoT OEM 来说,这些协调标准将成为未来 CRA 合规的重要组成部分。
可以用一句话理解两者之间的关系:
例如,CRA 要求制造商:
这些要求说明了企业应承担的责任,而协调标准则会进一步提供可实施、可验证的技术方法和实践参考。
很多企业认为,只要阅读 CRA 法规即可开始合规。实际上,如何证明符合 CRA 要求,同样是合规工作的重要组成部分。未来,协调标准有望成为符合性评估的重要技术依据,帮助企业更加规范地证明产品符合 CRA 要求,并支持技术文档准备、CE 标志以及监管沟通等工作。因此,对于计划进入欧盟市场的 IoT OEM 来说,现在开始了解协调标准并建立相应能力,将有助于降低后续合规成本。
很多企业提到 CRA 时,首先想到的是:
这些能力当然重要。但 CRA 更关注的是企业是否建立了持续的安全管理能力,例如:
这些运营能力正逐渐成为 CRA 合规的重要组成部分,而不仅仅是产品功能。
虽然许多协调标准仍在制定过程中,但企业并不需要等待标准全部发布后才开始准备。现在就可以着手建立:
这些能力既能够提升产品安全水平,也能够帮助企业更从容地应对未来的 CRA 合规要求。
CRA 明确了企业需要实现的安全目标。协调标准则为企业提供了一条更加清晰的实施路径。对于 IoT OEM 来说,未来的 CRA 合规不仅取决于产品是否具备安全功能,更取决于企业是否建立了一套能够持续运行、持续证明并持续改进的安全管理体系。