訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
國際資安趨勢:歐盟通過《資安韌性法草案》
獲取產業訊息零時差!立即訂閱電電公會電子報。

歐洲議會於2024312日全體會議投票通過《數位元件產品橫向資安要求規則草案》(Proposal for a Regulation of the European Parliament and of the Council on Horizontal Cybersecurity Requirements for Products with Digital Elements and Amending Regulation (EU) 2019/1020)(下簡稱為「資安韌性法 (Cyber Resilience Act)草案」),草案重點摘要如下:

  • 立法緣由:當數位元件產品存在安全漏洞時,易受資安攻擊,且因產品安全屬性(security properties)資訊之透明度不足,導致消費者於選購時難以做出適當選擇。因此歐盟推出數位元件產品進入歐盟市場之規則,並課予產品供應鏈之各階段供應商相應的資安與透明義務。
  • 數位元件產品:指任何軟體或硬體產品及其遠端資料處理解決方案 remote data processing solutions),包括在單獨投入市場之軟體或硬體組件。此外,資安韌性法草案將數位元件產品分類為:I類重要數位元件產品(例如生物識別讀卡器)、II類重要數位元件產品(例如防火牆)、關鍵數位元件產品(例如安全加密處理器),以及上述類型以外的一般數位元件產品。
  • 供應商義務:供應商應確保其產品符合資安韌性法草案附錄一之「基本要求」(包含資安要求及漏洞處理要求),方可進入歐盟市場,且產品須通過合規評估程序,提供歐盟符合性聲明等文件後,附標CE標誌以示該產品合規。此外,當產品存在重大資安風險時,供應商另負有通報義務。
  • 草案下一步:待歐盟理事會正式通過草案,並由歐洲議會與歐盟理事會主席簽署後(預計於2024年秋季通過),於歐盟官方公報(Official Journal of the European Union, OJEU)發布20天後生效。大部分規定將於生效之日起36個月後開始施行,製造商報告義務於21個月後施行,合規評估機構通知規定於18個月後開始適用。屆時,未遵守基本資安要求,及製造商義務時,最高將處以15,000,000歐元,或企業上一財政年度全球總營業額的2.5%(以較高者為準)的行政罰鍰。

參考來源:本文參考Cyber Resilience Act自製

 

參考資料:

  1. European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD), EUROPEAN PARLIAMENT (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2.
  2. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), EUROPEAN PARLIAMENT (2024), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0454.
  3. Cyber Resilience Act: MEPs adopt plans to boost security of digital products, EUROPEAN PARLIAMENT (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991 /cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products. 
  4. European upcoming cybersecurity legislation – Current State of Play, CYBER RESILIENCE ACT (2024), https://www.cyberresilienceact.eu/current-state-of-play/.
訂閱電子報 友善列印 字體大小:
獲取產業訊息零時差!立即訂閱電電公會電子報。