从欧盟《网络弹性法案》看供应链安全管理

前言

当前，全球化、数字化、智能化深入推进，以SolarWinds攻击为代表的供应链安全事件频发，使得供应链安全问题日益突出，对组织的网络和数据安全构成潜在威胁，同时也成为国际社会数字化发展进程中的关注焦点。如何通过立法合理设置供应链安全基线，以及如何在合规视角下加强安全实践，实现产业供应链的安全、韧性、稳定，是值得思考与探索的问题。2023年11月，欧盟范围内首部针对具有数字元素的有形和无形产品（以下简称数字产品，包括连接设备和非嵌入式软件）的专项立法取得进展，欧盟理事会与欧洲议会就《网络弹性法案》（CRA）达成临时协议，旨在为数字产品制造商引入通用网络安全规则。

立法内因：为何欧盟如此关注供应链安全？

数字产品有强跨境属性，一旦发生安全事件将会在短时间内从个体扩散到全国，从单个成员国蔓延到整个欧盟。保障网络安全是欧盟委员会的首要任务之一。据估计，每年欧盟数据泄露造成的损失至少为100亿欧元，每年互联网受恶意破坏造成的损失至少为650亿欧元，2021年全球网络犯罪约造成55000亿欧元的损失。2022年欧盟软件供应链遭受的网络攻击数量增加两倍，每天都有小型企业和医院等关键机构成为网络犯罪分子的目标。平均每11秒就有组织遭受勒索攻击，预估每年损失200亿欧元。其中，仅2021年，网络犯罪分子就通过入侵设备在全球范围内发起约1000万次DDoS攻击，严重威胁网络安全。

立法沿革: 欧盟《网络弹性法案》立法脉络如何?

2020年12月，《欧盟数字十年网络安全战略》宣布将制定CRA，力求将网络安全理念融入欧盟供应链各个环节，整合欧盟在市场、执法、外交、国防等领域的网络安全资源。

2021年9月，欧盟委员会主席乌苏拉·冯德莱恩在欧盟国情咨文演讲中正式宣布引入CRA，引发国际社会各方关注。

2022年9月，欧盟委员会公布CRA文本，旨在设置一系列规则，重视所有数字产品的安全性，包括硬件和软件产品。

重点内容：制造商的核心义务包括哪些？

欧盟委员会表示，CRA旨在解决两类问题，一是数字产品固有的网络安全水平不足，或者提供的安全更新不到位。当数字产品出现安全问题时，尽管其制造商可能面临声誉损失，但安全风险主要是由专业用户和消费者承担的，这一定程度上弱化制造商投资安全开发设计、提供安全更新的动力；二是消费者和组织无法确定哪些数字产品是安全的，或者说无法确定自身的网络安全能否得到保护。

对此，CRA要求数字产品只有满足特定网络安全基线要求时才能上市销售，并且要求制造商将网络安全嵌入数字产品的设计开发中。面向最终用户方面，CRA要求制造商在向用户告知网络安全方面保持透明度。CRA强调要优先保障防病毒软件等关键产品的网络安全性，要求所有在欧盟市场上销售的数字产品在整个生命周期都必须满足强制性网络安全标准。

具体来说，CRA规定的主要义务如下：

1 网络安全基本要求

一是确保基本网络安全水平。数字产品在设计、开发和生产时应确保基于风险的适当网络安全水平，在交付时应没有任何已知的可利用漏洞。

二是提供产品安全默认配置。数字产品应提供安全的默认配置，通过适当控制机制（包括但不限于身份验证、身份或访问管理系统）防止未经授权访问，保护存储、传输或以其他方式处理的数据的机密性，确保基本功能可用，限制攻击面，确保可通过安全更新解决漏洞（包括通过自动更新和向用户通知更新）。

三是实施网络安全风险评估。制造商应对数字产品进行网络安全风险评估，并在产品规划、设计、开发、生产、交付和维护阶段考虑该评估结果，最大限度减少网络安全风险、防范安全事件发生、削减安全事件影响。

四是实施第三方集成尽调。制造商将来自第三方的组件集成到数字产品时应进行尽职调查，确保组件不会影响产品安全性。

2 漏洞管理要求

一是漏洞识别、修复与披露。制造商应识别并记录产品中包含的漏洞和组件，构建软件材料清单（SBOM）。针对产品所面临的风险，及时解决和修复漏洞，包括提供安全更新。对产品安全性进行定期有效的测试和审查。安全更新发布后，公开披露有关已修复漏洞的信息，包括漏洞描述、漏洞严重性及影响、帮助用户修复漏洞的信息等。

二是制定漏洞披露政策。制造商应制定协同漏洞披露政策，以促进个人或实体报告漏洞。协同漏洞披露政策应确定一个结构化流程，通过该流程，制造商可以在向第三方或公众披露详细的漏洞信息之前诊断和补救此类漏洞。鉴于产品中可以被广泛利用的漏洞信息能够在黑市上被高价出售，制造商应通过该流程，确保个人或实体的报告行为得到认可和补偿（即“漏洞赏金计划”），以激励漏洞报告。

3 报告义务

一是安全漏洞报告义务。制造商应在意识到数字产品存在可被积极利用的安全漏洞后24小时内，毫不拖延地通知欧盟网络安全局（ENISA）。通知内容应包括漏洞详细信息以及在适当情况下所采取的缓解措施。

二是安全事件报告义务。制造商应在意识到数字产品发生安全事件后24小时内，毫不拖延地通知ENISA。通知内容应包括有关事件严重性和影响的信息，在适用情况下表明制造商是否怀疑该事件是由非法或恶意行为引起或认为该事件具有跨境影响。

除非出于正当的网络安全理由，ENISA应在收到漏洞或事件通知后，立即转发给各成员国计算机安全事件响应团队（CSIRTs），并告知市场监督机构。

对于此报告义务，在CRA制定过程中引发争议。企业和组织的担忧在于此类漏洞报告会催生情报、监视等方面新的威胁，欧盟部长理事会和欧洲议会等部门的关注点在于谁来担任报告信息的最初接收者，是各成员国的主管当局，还是ENISA。在11月达成的政治协议中，共同立法者建议由各成员国主管当局担任报告的最初接收者，但同时也需强化ENISA职能。这意味着，本条义务尚有调整的可能性。

小结

目前法案尚待欧洲议会和理事会的正式批准，一旦通过，CRA将在官方公报发布后第20天生效。届时，数字产品制造商等主体将有36个月的时间适应CRA提出的要求，但必须在21个月内履行CRA对漏洞和事件的报告义务。

随着供应链安全风险日益凸显，各国在国际合作、政策立法、监督管理等方面持续加大供应链安全管理力度，我国作为网络大国也不例外。供应链条上的组织，无论是用户侧的网络运营者，还是产品和服务提供者等主体，应在开发设计、交付维护、采购部署等各个环节重视网络安全，防范安全风险。

声明：本文来自信息网络安全公安部重点实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。