网络安全丨欧盟CRA新规倒计时:2026年9月起,网络安全事件强制上报!

Share on social media

当一个网路安全问题不再是「纸上谈兵」,而是正在现实中真实上演时,会发生什么事?

随着欧盟《网路弹性法案》(EU Cyber Resilience Act, 简称 CRA)逼近关键节点,倒计时已经开始:从 2026 年 9 月起,法案第 14 条规定的资安漏洞通报义务将成为强制要求——即使是存量产品(既有产品)也不例外。

根据 CRA 第 14 条规定:
制造商必须确切知道「向谁通报」、「多快通报」以及「通报什么内容」。因为当资安危机发生时,回应速度就是一切。

触发 CRA 资安通报的两大关键场景

01

正在被利用的资安漏洞

当产品缺陷已经被攻击者利用时 ➔ 制造商必须在 24 小时内发出预警,72 小时内提交详细通知,并在缓解措施实施后提交最终报告。

02

严重的网路安全事件

当产品安全面临严重风险时(即使尚未发生实际的漏洞利用)➔ 同样需要走快速通报通道,并提交结构化的更新报告。

所有报告都将透过单一通报平台进行,以确保与全欧洲的电脑安全事件回应小组(CSIRTs)及欧盟网路安全局(ENISA)保持高度协调一致。

这不仅仅是为了满足合规性,更是为了落实快速反应、保护用户,并在第一时间将损失降到最低。

© 2020 Copyright - 安律信息技术有限公司 Secure Vectors Information Technologies Inc.