CRA是甚麼 #
CRA = Cyber Resilience Act = (EU)2024/2847,歐盟韌性法案,2024年通過並生效,2027強制執行(違反會有懲罰)。適用於所有具備Digital element的產品:
This Regulation applies to products with digital elements made available on the market, the intended purpose or reasonably foreseeable use of which includes a direct or indirect logical or physical data connection to a device or network.
只要可以直接或是間接,邏輯性或是物理性連到其他裝置或是網路,都在範圍內。
而甚麼是digital element? Article 3 Definition說明:
‘product with digital elements’ means a software or hardware product and its remote data processing solutions, including software or hardware components being placed on the market separately
包含了硬體和軟體以及remote data processingsolution - 指開發商開發或負責的資料遠端處理(e.g. 雲端服務),且是必要功能(缺了他會功能失效)
Out of Scope #
以下產品皆不在CRA的Scope之下:
- 醫療相關: (EU) 2017/745、2017/746
- 車輛: (EU) 2019/2144
- 航空相關: (EU) 2018/1139
- 船用設備: (EU) 2014/90
- 國防相關
- 若該產品已經在其他相同強度法規的規範下,也可除外
- CRA所規定的義務,不得要求提供任何披露後將有損成員國國家安全、公共安全或國防之核心利益的資訊。
罰款 #
如果不滿足essential requirements,或是沒有做到製造商的義務(obiligation),罰款1500萬(€15 million) 或2.5%的全球年營業額(取其重,歐元計價)。