-98.jpg)
.jpg)
网络弹性法案(CRA)
概述
《网络弹性法案》(Cyber Resilience Act)明确规定了适用于“具有数字元素的产品”(Products with Digital Elements, PDE)的网络安全需求, 这类产品包括能够直接或者间接连接到设备或网络的硬件产品和软件产品。兆易创新将 CRA 合规要求贯穿于产品全生命周期,在产品设计、制造与维护各阶段始终将安全置于优先位置,确保产品与解决方案具备持续的安全性,助力客户在符合欧洲法规要求的前提下部署安全可靠的系统。
时间线
CRA对制造商的影响
-
要求汇总
-
漏洞处理流程
-
信息与标识要求
-
要求汇总
-
设计与开发阶段产品在设计、开发与生产过程中应遵循安全设计原则,从源头确保产品安全。
-
产品交付阶段产品在交付时须满足基本网络安全要求,确保不存在已知安全漏洞。
-
产品运行阶段产品在运行过程中应保障自身及其他设备的安全,持续维持稳定的安全状态。
-
流程与组织能力阶段相关流程与组织能力应遵循基于安全风险的最佳实践,以有效应对各类网络安全风险。
-
-
漏洞处理流程
-
识别与文档管理识别并记录产品相关的依赖关系与安全漏洞信息,包括软件物料清单(SBOM)。
-
技术验证与影响评估对已报告的安全漏洞进行技术分析,明确受影响的产品范围,并对数字产品开展安全测试,以评估其安全能力。
-
风险评估与严重性分级采用行业认可的方法对已确认漏洞进行严重性评估,分析其潜在影响,确保产品及时消除已知安全风险。
-
修复与安全更新支持在产品预期生命周期或声明的支持周期内,提供相应的漏洞修复措施与安全更新支持,及时发布安全补丁,并配套必要的说明信息。
-
信息披露对已修复的安全漏洞信息进行公开披露,并遵循协调漏洞披露机制。
-
-
信息与标识要求
-
CE 标志
产品须加贴 CE 标志,以表明其符合相关欧盟法规与标准要求。
-
漏洞报告联系方式
提供用于报告安全漏洞的联系方式,便于用户和相关方反馈安全问题。
-
制造商支持信息
明确制造商所提供的支持类型及支持期限。
-
使用与数据处理说明
提供安全使用指南及安全数据删除的相关说明。
-
欧盟符合性声明
随产品提供欧盟符合性声明文件,以证明产品符合相关法规要求。
-
CRA 对半导体供应商的影响
.jpg)
-329.jpg)
-
硬件与固件安全
-
漏洞管理
-
文档支持
兆易创新具备安全特性的产品及其配套固件,满足 CRA 对安全设计的相关要求,提供可信根(Root of Trust)和安全执行环境。
通过定期安全更新和透明的漏洞披露流程,帮助客户在产品全生命周期内持续保持合规性与安全性。
我们提供全面的安全手册、合规指南及其他资料,协助客户完成产品符合性评估流程。
FAQ
法律免责声明
本页面提供的信息提供了有关如何遵守该法规的指南。这些信息不构成,且无意构成法律建议。本网站提供的所有信息、内容和材料仅供一般参考。如果您对商品相关的法律法规有任何疑问,建议咨询您的法律顾问。
报告产品安全漏洞
GD PSIRT全称为兆易创新产品安全事件响应团队(GigaDevice Product Security Incident Response Team)。兆易创新高度重视并致力于为客户消除安全漏洞隐患,PSIRT负责兆易创新产品相关安全漏洞的收集、核查与披露。
