CRA 正在重新定义运营商和资产所有者在实现互联运营的现代化和扩展过程中可以投入使用的技术 。
CRA 义务如何影响产品采购和部署
CRA 合规义务首先落在向欧盟市场销售含有数字元素产品的制造商身上。 无论总部设在哪里,他们都有责任满足加拿大税务局提出的要求。’’
但 日常影响将落在运营商和资产所有者身上;’他们将被要求确保他们购买的产品符合 CRA 的要求。 这将改变采购需求的制定方式、生命周期预期规划方式以及与供应商就漏洞和更新进行的沟通管理方式。
例如, CRA 将使向制造商施压,要求其就以下问题给出明确答复:
这些要求也适用于设备投放欧盟市场的原始设备制造商和机械制造商。
CRA 合规性如何融入欧盟网络安全格局
工业安全和运营团队已经熟悉诸如 NIS2、 CER 等法规以及特定行业的指导方针。 将 CRA 视为对这些要求的补充,提高了维持行业运营的产品的安全标准。 它规范了这些产品的设计、记录、评估和维护方式。
CRA 的设计范围很广,旨在适用于涉及某种形式的软件或数字逻辑的产品。 在工业环境中,这通常包括:
- 防火墙和入侵检测/防御系统
- 路由器、调制解调器和交换机
- 网络管理系统
- 操作系统
符合 CRA 标准的产品也是 CE 标志体系的一部分。 该符号表示产品符合安全性和电磁兼容性 (EMC) 要求以及 CRA 网络安全期望。 这是欧盟各成员国的国家市场监管机构在调查和执行信用报告法合规性时会寻找的标记。’
产品在设计上就注重安全性:这意味着’
CRA 要求产品出厂时必须具备安全配置,以减少常见的攻击路径并阻止不安全的部署。 它强调基础安全控制的必要性,而不是高级功能。 这意味着更少的风险默认设置、更少的配置猜测和更高的整体保护水平。
这将改变业主和运营商对制造商在产品设计、漏洞管理和生命周期支持方面的期望,从而影响互联运营的安全性和可持续性管理方式。
制造商可预测的漏洞处理方式
CRA 要求制造商在产品生命周期内识别和修复漏洞,然后沟通漏洞的影响和修复措施。— 对于工业安全和运营团队来说,这 应该可以减少事件发生时的猜测。 影响声明、缓解措施指南和补丁程序的发布将遵循一致的流程。
关于产品支持期限的清晰沟通
制造商需要与所有者和运营商沟通,说明支持的含义、安全更新将持续多久以及这些更新将如何应用。 “” 这迫使 制定清晰的产品生命周期规划 ,以便更好地做出停止支持决策,尤其是在设备部署数年或数十年的工业市场中。
完善的文档有助于安全部署和运行
文件记录是加拿大税务局合规性的一部分。 制造商应保存内部技术文件,向业主和运营商证明如何满足安全要求。 这些文件还应为所有者和运营商提供指导,说明如何支持安全安装和长期运行。
Belden 制造符合 CRA 标准的产品
CRA 将重塑人们对工业网络和自动化设备的期望。 网络安全将成为具有数字元素的产品不可或缺的属性。。
作为一家在产品开发过程中优先考虑安全性的制造商,Belden 提供安全的工业网络产品和长期生命周期支持,以便您可以放心地将它们集成到您的安全程序中。
Belden 结合了基于 IEC 62443-4-1 的安全开发、全球流程协调和长期维护理念,旨在帮助您应对 CRA。
如需更详细地了解 CRA 义务以及如何将要求转化为可操作的计划,请下载我们的指南:《驾驭网络弹性法案:制造商、运营商和资产所有者需要了解的内容》。