BSI技術指引 TR-03183-1
| 適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。 CC BY-SA 4。0。 |
(見前篇)
3.2.2 「放入市場」及「提供到市場上」
CRA 適用於所有在歐盟內「放入市場placed on the market」的 PwDE。此定義源自《歐盟產品規則實施藍色指引》,適用於歐洲產品法規。定義:「放入市場」指產品首次在歐盟放入市場的時刻。這是由製造商或進口商執行,且指的是每一件產品,而非特定類型或型號。一旦產品放入歐盟市場,就可以沿著歐盟境內的銷售鏈轉售或轉移,而不會再次被視為「放入市場」。
示例:德國一家製造商生產一批智慧恆溫器。當這些恆溫器首次銷售給法國經銷商時,就會「放入市場」。CRA的一些要求也適用於產品提供到市場後才是放入市場。此種類型被稱為「提供到市場上」。
定義:「提供到市場上」指在商業活動過程中,為經銷、消費或在歐盟市場提供任何產品,無論是以有價或免費形式。此處指的是每一次提供的產品,用於經銷、消費或在歐盟市場使用,涵蓋所有產品的轉移類型,包括:銷售、短期租賃、借用或免費贈送。此定義適用於產品放入市場後的整個供應鏈。
示例:如果法國的經銷商將智慧恆溫器賣給零售商,零售商再賣給最終用戶,這些交易都是「提供到市場上」。
總結來說,產品放入市場係首次在歐盟市場供應、供經銷、消費或使用該產品;而在產品放入市場後,在歐盟市場提供(銷售、轉移等)則是指產品放入市場後,市場中再提供給任何供應鏈上的角色(如銷售、轉移等)。
3.3 製造商
該技術指引將聚焦於CRA看待製造商的觀點。「製造商」被定義為自然人或法人,開發或製造帶有數位元素的產品,或設計、開發或製造帶有數位元素的產品,並以其名稱或商標行銷,無論是為了獲取報酬或免費提供。「製造商」生產有形產品,如器材,或創造或提供無形產品,如軟體及軟體元件。在軟體的語境中,「製造商」是軟體作者角色的同義辭。
該技術指引不會詳細說明CRA定義的「經銷商」、「進口商」或其他經濟營運商,因為該技術指引所述技術要求並非為該等角色的需求而量身打造。
3.4 時間軸
《網路韌性法案CRA》於2024年12月10日生效,但對於帶有數位元素的產品進入歐洲市場尚未強制實施,因為實施該等要求尚需經過若干個過渡期。- 製造商主動通報漏洞遭到不正當利用及嚴重事件的義務(CRA第14條)將於2026年9月11日開始。
- 自2027年12月11日起,必須遵守所有帶有數位元素的產品在歐洲市場的CRA要求。
- 帶有數位元素且於2027年12月11日之前放入市場的產品,僅在該產品於2027年12月11日之後經過重大修改(substantia modification)時,才會受到CRA約束(CRA第69(2)條)。
CRA第14條規定的義務適用於所有於2027年12月11日前放入市場且屬於該條例範圍內帶有數位元素的產品(CRA第69(3)條)。
3.5 概念
CRA基於多項基礎概念,協同一致地強化歐盟數位產品領域的資安。此等概念包括:設計與預設安全
CRA 要求製造商從源頭開始就將網路與資訊安全整合進產品規劃、設計、開發與維護中,並結合數位元素。此種「本質設計安全」原則確保安全性不是事後想到才追加進去的,而是產品開發的基本考量面向。同時也要求產品預設具備安全性,意即使用者無需額外採取措施來確保基本安全。
風險導向方法
必要的資安需求必須基於資安風險評鑑予以實施,並考量帶有數位元素產品的預期目的及合理可預見的使用情況。此方法確保所有與PWDE相關的網路與資訊安全風險都必須受到妥善處理,確保任何類型的PWDE皆享有適當的網路與資訊安全水準。
生命週期責任
製造商在產品整個生命週期中負責資安,而不僅僅是在銷售階段。意即包括及時提供安全更新、處理漏洞,以及在產品支援期間內提供各種相關支援,以反映產品預期使用的時間長度,通常為至少五年。
透明度與使用者資訊
CRA 強調透明度,要求製造商提供清楚且易於理解的產品安全特性及更新政策資訊。這讓消費者和企業能對購買和使用的產品做出知曉情況的決定。
3.6 製造商的義務
CRA第13及14條規定了對數位元件產品製造商的全面義務。這些義務涵蓋整個產品生命週期,從設計與開發到上市後支援。以下是主要要求的摘要。放入市場前義務
製造商在將帶有數位元素(PwDE)的產品推向市場前,有多項應盡義務:
- 確保產品符合附錄一所敘述的基本資安要求,包括設計、開發及生產產品,以達到適當的資安水準。資安等級是基於對每款產品的資安風險評鑑,以及對潛在風險的適當處理,達到可容忍的程度,考量預期目的、合理可預見的使用、營運環境及預期使用期間。
- 整合第三方元組件(包括開源軟體)時,務必進行盡職調查,並針對這些元組件中的漏洞進行處理與修復。製造商必須向製造或維護該元組件的個人或實體報告第三方元組件中發現的漏洞。若製造商開發軟體或硬體修改以解決元組件中發現的漏洞,必須將相關程式碼或文件以機器可讀格式與製造或維護該元組件的個人或實體分享。
- 擬定技術文件(CRA第31條),至少包含附錄VII中所列資訊,展現符合基本網路與資訊安全要求。這些文件包含產品、其預期用途、設計與開發的資訊。同時也必須包含網路與資訊安全風險評鑑,識別潛在威脅與漏洞,評估其影響,並概述為減輕這些風險所採取的措施。• 向附錄 II 中明確的資訊與指示,如製造商識別、聯絡方式及單一漏洞通報聯絡點。PwDE 必須附有附錄二中所列使用者資訊,無論是紙本或電子形式。
- 執行符合性評鑑程序,以展現符合基本的資安要求。符合性評鑑可透過自我評鑑或由第三者公告機構進行,須視 PwDE的類型而決定評鑑方式。
- 若能展現符合基本資安要求,即著手擬定歐盟符合性聲明(DOC),並在產品上貼附CE標誌。
產品監控與上市後義務
PwDE 放入市場後,製造商必須系統性地記錄並定期檢視產品的資安面向。這包括根據需要更新風險評鑑,並適當處理新浮現的風險。此外,製造商應在其指定支援期間監督產品安全漏洞,並適當處理發現的漏洞,包括免費提供安全更新補丁。
這些放入市場後義務必須在製造商根據預期使用時期的長度所設定的產品支援期間內無間斷地維持住。一般而言,除非產品類型及其可預見使用期間不適用太長期間,否則支援期至少須為五年。
此外,製造商還必須確保安全更新及技術文件在產品上市後至少10年內或整個支援期間(以兩者較長期間為準)都能夠取得。
通報義務
CRA第14條規定了對PwDE的強制通報義務。製造商必須在得知 PwDE 的資安漏洞及嚴重的資安事件後,通報這些事件對帶有數位元素的產品安全性造成負面影響。必須透過CRA第16條設立的單一報告平台,同時向指定的CSIRT(電腦安全事件應變小組)及歐盟網路與資訊安全機構ENISA(歐盟網路與資訊安全機構)發出通知。
以下為針對資安漏洞發出通報的時間與內容:
- 早期警示通知:必須在得知漏洞後24小時內提交,且應在適用時標明製造商將係稱產品放入市場的已知道之成員國。
- 漏洞通知:若尚未提供,須於知悉漏洞後72小時內提交更詳細通知。內容應該包括產品的一般資訊、漏洞利用的性質與漏洞、已採取的矯正或緩解措施,以及對使用者的指引。若相關,也應標示資訊的敏感度。
- 最終報告:若尚未提供,必須在漏洞的修正或緩解措施取得後14天內提交最終報告,內容包括漏洞的描述、嚴重程度與影響,以及修正措施的細節。若有以下情形亦應一併報告,即包含任何惡意攻擊者利用該漏洞的資訊。
- 早期警示通報:必須在得知漏洞後24小時內提交,且不得延誤。至少包括事件是否懷疑由非法或惡意行為引起,並應在適用情況下指出製造商知悉其產品已在該成員國境內提供數位元素;
- 事故通報:若尚未提供,須於知悉後72小時內提交更詳細通報。內容應該包括產品的一般資訊、漏洞利用的性質與漏洞、已採取的矯正或緩解措施,以及對使用者的指引。若相關,也應標示資訊的敏感度。
- 最終報告:若尚未提供,必須在事件通報後一個月內提交最終報告,內容包括事件的詳細描述,包括嚴重程度、影響及潛在根本原因,以及已採取的緩解措施細節。
除了強制性通報外,製造商及其他相關方可自願通報任何可能影響產品風險的漏洞或網路威脅,以及任何影響產品安全的事件或差點事故。這些自願通知可向CSIRT或ENISA提交。
自願通報不會對通報人施加超出未通報時存在的額外義務。CSIRTs與ENISA必須確保所提供資訊的保密性與適當保護。若非製造商通知存在漏洞或嚴重事件,CSIRT 必須立即通知製造商。CSIRT可優先處理強制性通知而非自願性通知,並依CRA第16條程序處理所有通知。
3.7 符合推定
《網路韌性法》採用「符合推定」(CRA第27條)概念,意指若產品具備數位元素及製造商流程符合特定的歐洲調和標準、共同規範或歐洲資安驗證計畫,則推定符合CRA的基本資安要求。歐洲調和標準(HES)是由一個或多個歐洲標準化組織應歐盟委員會要求制定的標準。若調和標準符合其主旨要求,歐盟委員會將在《歐盟官方公報》上發布列為參考用文獻。以此種方式發表的HES可用於符合推定的規範。在CRA歐洲調和標準為背景考量情況下,即視為符合該條例附錄一或其部分內容所列出的基本網路與資訊安全要求。
若要求的歐洲調和標準(HES)無法及時交付或無法交付,歐盟委員會可制定實施法案,建立涵蓋技術要求的共同規範,提供符合附錄一中基本網路與資訊安全要求的替代性手段。
歐盟委員會亦可採納特定的歐洲網路與資訊安全驗證方案及《網路與資訊安全法》(CSA),用以展現帶有數位元素的產品符合附錄一所列基本網路與資訊安全要求或其部分。
調和標準的符合推定並不代表製造商免於履行基本的資安要求,因為歐洲調和標準、共同規範及歐洲資安驗證計畫必須符合其特定情境下的必要資安要求或其部分內容。
此外,符合推定僅適用於基本的資安要求。來自CRA其他部分的義務,將不會由歐洲調和標準、共同規範或歐洲網路與資訊安全驗證方案予以涵蓋。
3.8 產品類型
CRA 根據核心功能將帶有數位元素的產品分類為三大主要產品類型(見圖三),每個類型對符合性評鑑的要求各有不同。歐盟委員會將另行以技術說明的形式,提供核心功能及產品類型的具體範圍的進一步指引與說明。圖三:產品類型
3.8.1 預設型類型
包含所有帶有數位元素但未明確列為《重要》或《關鍵》的產品類型。此類型包含智慧電視、網路印表機、藍牙喇叭、媒體播放器軟體等。此類型約佔所有數位元素產品 90%。如何展現一致性?製造商根據CRA附錄 I 的基本網路與資訊安全要求進行自我評鑑,即可符合此類型(CRA 第 32(1) 條)。此類基於內部控制的符合評鑑完全由製造商負責,無需第三方介入。此規定符合新法規架構(NLF)的符合審查程序模組「A」。另外,第三方由公告機構進行的評鑑,也可以自願採用,並透過歐洲資安驗證計畫推定符合標準。
3.8.2 重要型產品I類
具有附錄三中某項產品類型核心功能的數位元素產品被視為《重要》。《重要》區域分為第一類和第二類。第一類包括身份管理系統、得到授權的存取管理軟體/硬體、獨立/嵌入式瀏覽器、登入密碼管理器、反惡意軟體、VPN 產品、網路管理系統、作業系統、路由器、數據機、交換器、具安全相關功能的微處理器/微控制器、具備安全功能的智慧家庭產品、網際網路連結型玩具、個人穿戴裝置。如何展現一致性?一般而言,製造商依據歐洲調和標準或共同規範自我評鑑,是展現符合基本網路與資訊安全要求的主要方式,基於符合推定(CRA第32(2)條),如第3.7節所述。也可透過歐洲至少「重要」等級的資安驗證計畫,推定符合標準,以展現符合基本資安要求。
若無能夠適用的歐洲調和標準、共同規範或歐洲資安驗證方案,則需由公告機構進行第三方評鑑。此舉符合新法規架構(NLF)的符合評鑑模組「B」。該公告機構將根據CRA附錄一的基本網路與資訊安全要求評鑑產品,並核發符合證書。為了使用該證書生產符合標準的產品,製造商必須確保生產 PwDE 的過程符合證書中所描述的核准型號。此內部生產控制基於新法規架構(NLF)的「C」模組,且只能與其他評鑑模組結合使用,此類型產品係結合「B」模組與「C」模組。
另一條符合途徑,可透過符合新法規架構(NLF)符合評鑑程序模組「H」的驗證完整品質保證系統達成。
3.8.3 重要型產品 II 類
CRA附錄三中列出的數位元件第二類《重要》產品,包括:虛擬機監控程式、容器運行系統、防火牆、入侵偵測與防範系統、防篡改微處理器及防篡改微控制器。
如何展現一致性?第二類產品不允許製造商進行自我評鑑(CRA第32(3)條)。因此,僅能基於模組 B+C 或模組 H 進行第三方評鑑。只有透過至少達到「重要」等級的歐洲資安驗證系統,才能推定符合基本資安要求。
3.8.4 關鍵產品
具有CRA附錄四中產品類型核心功能的數位元素被視為《關鍵》產品,包括:安全模組硬體、智慧電表閘道器、智慧卡、安全元件及其他用於先進安全目的等器材,包括安全的加密處理。如何展現一致性?《關鍵》產品需依據歐洲資安驗證計畫(CRA第32(4)條)取得驗證。這可能包括基於歐洲共同準則(EUCC)的資安驗證。相應產品類型的相關方案將透過歐盟制定的授權法案獲得核准。若不存在此類法案,則需依照《重要》類型II的程序證明一致性。
3.9 基本要求
CRA的核心要求即附錄一所列的基本要求。因此,本技術指引將逐字列出該等要求內容。基本資安需求
第一部分 關於數位元素產品屬性的資安要求
a. 帶有數位元素的產品應遵循下述方式設計、開發及生產,以確保根據風險達到適當的網路與資訊安全水準。
b. 根據第13(2)條所述的網路與資訊安全風險評鑑,且在適用情況下,帶有數位元素的產品應:
- 在市場上可獲得之際並無已知可利用的漏洞;
- 除非製造商與商業用戶另有協議,並以安全預設配置在市場上可獲得之,該產品包含數位元素的量身打造產品,包括可將產品重設至原始狀態;
- 確保漏洞能透過安全更新予以解決,包括在適當時間內安裝的自動安全更新,該更新已設定為原先預設之設定狀態,並具備清晰且易用的退出機制,透過通知用戶可用更新,以及暫時延後更新的選項;
- 確保透過適當的控制機制防止未經授權存取,包括但不限於驗證、身份或存取管理系統,並對可能的未經授權存取進行報告;
- 保護儲存、傳輸或其他處理資料的機密性,無論是個人資料還是其他資料,例如透過最先進機制加密靜態或傳輸中的相關資料,並使用其他技術手段;
- 保護儲存、傳輸或其他資料(個人或其他)、指令、程式及設定架構的完整性,防止未經使用者授權的操作或修改,並回報毀損情況;
- 僅處理相應、相關且侷限於產品預期用途所需的資料,包含個人或其他資料(資料最小化);
- 保護本初且基本功能的可用性,即使在事件發生後,也包括透過韌性與緩解措施來防範阻斷服務攻擊;
- 將產品本身或連接裝置對其他裝置或網路所提供服務可用性的負面衝擊降到最低;
- 設計、開發及生產以限制攻擊面,包括外部介面;
- 設計、開發並生產,以利用適當的利用緩解機制與技術,以減少事件的衝擊;
- 透過記錄與監督相關內部活動,包括存取或修改資料、服務或功能的活動,並提供使用者的退出機制,提供安全相關資訊;
- 提供使用者安全且輕鬆地永久移除所有資料與設定的可能性,並在這些資料可轉移至其他產品或系統時,確保此過程安全。

沒有留言:
張貼留言