因應歐盟《資安韌性法草案》數位產品安全性要求，提高進入歐盟市場之條件

歐洲議會於2024年3月12日全體會議投票通過《數位元件產品橫向資安要求規則草案》（Proposal for a Regulation of the European Parliament and of the Council on Horizontal Cybersecurity Requirements for Products with Digital Elements and Amending Regulation (EU) 2019/1020, Cyber Resilience Act）（下簡稱為「資安韌性法草案」），草案重點摘要如下：

• 立法緣由

當數位元件產品存在安全漏洞時，易受資安攻擊，且因產品安全屬性（security properties）資訊之透明度不足，導致消費者於選購時難以做出適當選擇。因此歐盟推出數位元件產品進入歐盟市場之規則，並課予產品供應鏈之各階段供應商（製造商、經銷商及進口商等）相應的資安與透明義務。

• 數位元件產品

指任何軟體或硬體產品及其遠端資料處理解決方案 （remote data processing solutions），包括在單獨投入市場之軟體或硬體組件。此外，資安韌性法草案將數位元件產品分類為：I類重要數位元件產品（例如生物識別讀卡器）、II類重要數位元件產品（例如防火牆）、關鍵數位元件產品（例如安全加密處理器），以及上述類型以外的一般數位元件產品。

• 數位元件產品供應商義務

供應商應確保其產品符合資安韌性法草案附錄一之「基本要求」（包含資安要求及漏洞處理要求），方可進入歐盟市場，且產品須通過合規評估程序（conformity assessment procedures），提供歐盟符合性聲明（EU Declaration of Conformity）等文件後，附標CE標章以示該產品合規。

• 製造商特定義務

1. 數位元件產品上市前，製造商除確保產品符合基本要求外，須進行資安風險評估並納入技術文件中，以及於整合第三方元件時，應進行盡職調查。若發現漏洞，製造商應通知相關維護單位，並進行修復，且應提供至少5年的漏洞處理支援期，及10年的持續性安全更新期。此外，產品應包含清晰的使用說明，提供單一聯絡點以便使用者通報漏洞，並標示產品類型、批次或序號及製造商的聯絡資訊。若製造商欲停止營運，應提前告知市場監管機關及使用者。

2. 製造商需向指定的「電腦安全事件應變小組」（Computer Security Incident Response Team, CSIRT）及「歐盟資安局」（European Union Agency for Cybersecurity, ENISA），透過「單一通報平臺」（single reporting platform）通報數位元件產品中任何已知的「常被利用的漏洞」（actively exploited vulnerability）或「重大安全事件」（severe incident）。

• 草案下一步

待歐盟理事會正式通過草案，並由歐洲議會與歐盟理事會主席簽署後（預計於2024年通過），於歐盟官方公報（Official Journal of the European Union, OJEU）發布20天後生效。大部分規定將於生效之日起36個月後開始施行，製造商報告義務於21個月後施行，合規評估機構通知規定於18個月後開始適用。屆時，未遵守基本資安要求，及製造商義務時，最高將處以15,000,000歐元，或企業上一財政年度全球總營業額的2.5％（以較高者為準）的行政罰鍰。

參考來源：本文參考Cyber Resilience Act自製

 

參考來源：本文參考Cyber Resilience Act自製

參考資料：

1. European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD), EUROPEAN PARLIAMENT (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2.

2. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), EUROPEAN PARLIAMENT (2024), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0454.

3. Cyber Resilience Act: MEPs adopt plans to boost security of digital products, EUROPEAN PARLIAMENT (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products.

4. European upcoming cybersecurity legislation – Current State of Play, CYBER RESILIENCE ACT (2024), https://www.cyberresilienceact.eu/current-state-of-play/.