网络弹性法案（CRA）

首页

> 利用领域

> 关键技术

> 信息安全

概述

《网络弹性法案》（Cyber Resilience Act）明确划定了合用于“具罕见字元素的产品”（Products with Digital Elements, PDE）的网络安全需要，这类产品蕴含可能直接或者间接衔接到设备或网络的硬件产品和软件产品。9888拉斯维加斯将 CRA 合规要求贯通于产品全性命周期，在产品设计、造作与守护各阶段始终将安全置于优先地位，确保产品与解决规划具备持续的安全性，助力客户在切合欧洲律例要求的前提下部署安全靠得住的系统。

功夫线

2027
12月11日

产品合规评估使命全面生效

所有投放欧盟市场的有关产品须全面切合 CRA 要求。
2026
9月11日

缝隙和安全事务汇报使命起头

有关组织需依照 CRA 要求起头推广网络安全缝隙和事务汇报使命。
2026
6月11日

向 CRA 有关机构进行传递

造作商需起头向有关主管机构（如 ENISA 或各成员国主管部门）传递产品类别及切合性打算。
2024
12月10日

CRA 正式生效

CRA 正式成为欧盟司法。

CRA对造作商的影响

要求汇总
缝隙处置流程
信息与标识要求

要求汇总
- 设计与开发阶段
  
  产品在设计、开发与出产过程中应遵循安全设计准则，从源头确保产品安全。
- 产品交付阶段
  
  产品在交付时须满足根基网络安全要求，确保不存在已知安全缝隙。
- 产品运行阶段
  
  产品在运行过程中应保险自身及其他设备的安全，持续维持不变的安全状态。
- 流程与组织能力阶段
  
  有关流程与组织能力应遵循基于安全风险的最佳实际，以有效应对各类网络安全风险。
缝隙处置流程
- 鉴别与文档治理
  
  鉴别并纪录产品有关的依赖关系与安全缝隙信息，蕴含软件物料清单（SBOM）。
- 技术验证与影响评估
  
  对已汇报的安全缝隙进行技术分析，明确受影响的产品领域，并对数字产品发展安全测试，以评估其安全能力。
- 风险评估与严沉性分级
  
  选取行业认可的步骤对已确认缝隙进行严沉性评估，分析其潜在影响，确保产品实时解除已知安全风险。
- 建复与安全更新支持
  
  在产品预期性命周期或申明的支持周期内，提供相应的缝隙建复措施与安全更新支持，实时颁布安全补丁，并配套必要的注明信息。
- 信息披露
  
  对已建复的安全缝隙信息进行公开披露，并遵循协调缝隙披露机造。
信息与标识要求
- CE 标志
  
  产品须加贴 CE 标志，以批注其切合有关欧盟律例与尺度要求。
- 缝隙汇报联系方式
  
  提供用于汇报安全缝隙的联系方式，便于用户和有关方反馈安全问题。
- 造作商支持信息
  
  明确造作商所提供的支持类型及支吃熠限。
- 使用与数据处置注明
  
  提供安全使用指南及安全数据删除的有关注明。
- 欧盟切合性申明
  
  随产品提供欧盟切合性申明文件，以证明产品切合有关律例要求。

CRA 对半导体供给商的影响

硬件与固件安全
缝隙治理
文档支持

硬件与固件安全

9888拉斯维加斯具备安全个性的产品及其配套固件，满足 CRA 对安全设计的有关要求，提供可信根（Root of Trust）和安全执行环境。

设计与开发流程
- 占有专门的安全架构团队和安全设计团队
- 安全设计流程遵循规范化流程尺度
安全硬件基础
- 集成硬件级安全原语，如安全启动（Secure Boot）、硬件可信根（Hardware Root of Trust）、受；さ拿茉看娲，为安整系统运行提供可信基础
安全固件架构
- 固件与参考软件设计支持安全启动链（Secure Boot Chain）
- 支持固件真实性验证、内存；ぜ鞍踩魇越涌
密码学与密钥治理支持
- 支持加密、身份认证及安全通讯
- 提供秘钥及凭证治理服务
安全升级与性命周期支持
- 提供安全固件更新机造，确保产品全性命周期安全
- 选取安全的造作流程与规划论

缝隙治理

通过定期安全更新和通明的缝隙披露流程，援手客户在产品全性命周期内持续维持合规性与安全性。

缝隙接管与文档治理

提供专门渠路，由产品安全事务响应团队（PSIRT）接管安全缝隙汇报。纪录并跟踪与半导体产品、SDK、固件嘉拷寮代码有关的缝隙信息。
技术验证与评估

对已汇报缝隙进行技术分析，确认其是否与9888拉斯维加斯产品或软件组件有关，并鉴别受影响的半导体器件、SDK、固件版本或参考实现。
风险评估与严沉性分级

选取行业认可的步骤对已确认缝隙进行严沉性评估，并分析其潜在可利用性及对有关半导体产品与软件组件的影响。
建复与安全更新支持

执行适当的缝隙建复或缓解措施，蕴含 SDK、固件或配置指南的更新，并向客户提供安全更新支持或缓解信息。
信息披露

对已建复缝隙进行公开披露，并遵循协调缝隙披露（Coordinated Vulnerability Disclosure）政策。

文档支持

我们提供全面的安全手册、合规指南及其他资料，协助客户实现产品切合性评估流程。

FAQ

Q1：我该若何汇报安全缝隙？

请接见我们官网的 “汇报产品安全缝隙” 页面，并提交与缝隙有关的信息。产品安全事务响应团队（PSIRT）将在收到信息后尽快与您联系。
Q2：CRA 将若何影响使用9888拉斯维加斯产品的设备造作商？

造作商必须确保其终端产品切合 CRA 要求，蕴含组件的安全集成、风险评估及持续的缝隙治理。9888拉斯维加斯通过提供具备安全个性的 MCU、参考规划及性命周期安全指南，援手客户简化合规流程。同时，我们与合作同伴合作，提供具备加强安全性的第三方软件解决规划。
Q3： CRA（网络弹性法案）的主张是什么？

CRA 旨在确保投放欧盟市场的联网产品在其整个性命周期内满足一致的网络安全要求。该法案划定了安全设计、安全开发、缝隙处置及实时安全更新等强造性规定，旨在保险含数字元素的产品高水平网络安全，从而提升硬件和软件产品的安全通明度。