歐盟《網路韌性法》(Cyber Resilience Act) 針對所有在歐盟市場上市的數位產品列出了安全規定。測試系統是符合這些規定的關鍵。
什麼是 CRA?
歐盟於 2020 年發表《網路韌性法 (CRA)》,做為歐盟網路安全策略的一部分。CRA 於 2024 年 3 月通過,並於 2024 年下半年生效。部分規定於 2025 年生效,且所有規定將於 2027 年生效。
歐盟 CRA 禁止銷售安全功能不足的產品,以保護消費者。CRA 要求產品貼有 CE 標誌,代表產品符合新標準。因此,所有製造商與零售商都必須優先考量產品的網路安全。任何直接或間接連線至網路或其他裝置的產品,一律適用此規定。此定義範圍廣泛,涵蓋從智慧型手錶與嬰兒監視器,到智慧型車輛與電網的所有內容。
歐盟 CRA 的規定已記錄於附錄 I。這些規定是否適用您的測試團隊,取決於您提供何種產品給客戶,例如是要改變交付給消費者的產品,或是要建立並交付完整的測試系統。
測試銷往歐洲的產品
如果您要測試銷往歐洲的產品,可能需要與安全團隊合作,以確認如何將 CRA 規定套用至您的測試系統。您的安全團隊需要進行評估,測試系統上出現一項安全漏洞並影響到您出貨產品能否符合安全規範的風險。如果測試系統只透過類比訊號連接裝置,風險可能就很低。但若您的測試系統是透過網路連線或其他測試介面來連接裝置,則可能會增加攻擊從測試系統傳到裝置的機率。
數年前曾發現,某些消費性數位相框帶有病毒,產品交付後即攻擊終端使用者網路中的其他電腦。調查人員發現,病毒是在製造過程中安裝的。這就是測試系統安全所要避免的情況。
在歐洲建立測試系統
如果您要購買元件在歐洲建立測試系統,則從 2027 年起,您所使用的元件需要貼有新的 CE 標誌。開始規劃系統時,即應與 NI 等供應商合作,以確保他們了解歐盟 CRA 並符合規範。NI 已與客戶開會討論,介紹我們的 CRA 符合性計畫,讓他們繼續相信 NI 未來可達成他們的需求。