產品分類
CRA根據網路安全關鍵程度將數位元素產品分為不同類別。
I類(預設)
不屬於II類的數位元素產品。
範例:
- 消費電子產品
- 智慧家居設備
- 通用軟體
評估: 自我評估或第三方評估
II類(重要)
對網路安全重要的產品。
範例:
- 作業系統
- 網路管理
- 安全軟體
- 工業控制
評估: 由公告機構進行符合性評估
基本要求
安全設計
產品必須從一開始就設計有適當的安全措施。
漏洞處理
建立識別、記錄和處理漏洞的流程。
SBOM
維護記錄所有元件和依賴項的軟體物料清單。
安全更新
在預期產品生命週期內提供安全更新(至少5年)。
文件
準備技術文件以證明符合基本要求。
違規處罰
不合規(製造商)最高可達 1500萬歐元或全球營業額的2.5%
不合規(進口商/經銷商)最高可達 1000萬歐元或全球營業額的2%
虛假或不完整資訊最高可達 500萬歐元或全球營業額的1%
處罰金額按固定金額或全球年營業額百分比中的較高者計算。不合規還可能導致產品從歐盟市場撤回。
實施時間表
2024年第四季
CRA生效
2025年
報告義務開始
2026年
符合性評估要求適用
2027年
需要完全合規