2024年11月,欧盟《网络弹性法案》(Cyber Resilience Act,CRA)正式发布,将“漏洞管理(Vulnerability Management)”与“漏洞披露(Vulnerability Disclosure)”提升为进入欧盟市场的重要合规义务。
对于所有含数字元素的产品制造商而言,建立系统化、可持续运行的漏洞管理与披露机制,已成为CRA合规的重要基础。
CRA漏洞披露义务
CRA规定了漏洞和安全事件的报告义务,但并非所有漏洞都需要上报。
CRA重点关注的是:actively exploited vulnerabilities(已被利用的漏洞)和severe incidents(严重安全事件)。
典型需要上报的情况包括:
已存在公开利用代码(Proof of Concept)或攻击工具的漏洞,且已被恶意利用的漏洞
技术社区披露且有证据表明已被恶意利用
厂商自身研究发现的0-day漏洞,且有证据显示已被利用
在安全事件调查中发现的已被利用漏洞或导致严重安全事件的情况
而以下情况通常不属于强制报告范围 (除非被实际利用):
扫描工具发现但不可利用的漏洞
厂商漏洞奖励计划(SRC)收到的普通漏洞或业务逻辑漏洞
尚未被利用的研究性漏洞
01
报告时间要求
24小时内:提交早期预警
72小时内:提交漏洞或安全事件通知
1个月内:提交完整的技术报告和事件分析
02
报告对象
制造商需要通过以下渠道进行报告:
欧盟统一漏洞报告平台(Single Reporting Platform,由 ENISA 运营)
相关成员国CSIRT(计算机安全事件响应团队)
03
协调漏洞披露
CRA同时要求制造商建立公开透明的协调漏洞披露机制:
公布的漏洞报告渠道
明确的漏洞响应时间承诺
与安全研究人员的沟通机制
对外公开的漏洞披露政策
这意味着企业需要建立类似PSIRT的组织能力,以确保漏洞能够被及时处理和沟通。
产品生命周期与安全支持期
CRA要求制造商在产品支持期内,持续承担安全维护责任。
这意味着,产品交付不是终点,而是安全服务的起点。
企业需要做到:
持续监测漏洞信息来源(如CVE数据库等)
定期开展安全评估
发现漏洞后及时提供安全更新与补丁
确保更新机制的安全性与可靠性
CRA还明确:产品的安全支持周期原则上不得少于5年。
建立漏洞管理流程
CRA要求制造商建立完整的漏洞管理体系,并形成可持续运行的漏洞管理流程,覆盖从漏洞接收、分析到修复和关闭的全过程。
因此,企业需要建立规范化的漏洞管理流程,主要包括以下环节:
漏洞接收渠道(如PSIRT团队或公开安全邮箱)
漏洞记录与分级机制
技术分析与影响评估
修复策略制定
补丁开发与验证
更新发布与用户通知
漏洞关闭与记录归档
小贴士:prEN 40000系列是用于支撑CRA合规的候选协调标准(draft harmonised standard),适用于不同类型的数字产品,其中prEN 40000-1-2覆盖CRA Annex I核心要求,包括安全设计、漏洞管理与生命周期安全支持。
企业在CRA漏洞管理方面面临的挑战
企业在建立漏洞管理和披露体系的实践过程中,通常会面临以下挑战。
01
组织层面
缺乏专职漏洞响应团队
研发与合规职责分离
安全责任边界不清晰
02
技术层面
SBOM管理能力不足
第三方组件漏洞难以追踪
OTA(Over-the-Air) 或补丁发布机制不成熟
03
合规层面
无法证明流程有效性
文档与审计证据缺失
针对这些挑战,DEKRA德凯提供流程支持、流程验证与技术评估的一站式支持服务,包括:
基于prEN 40000系列, ISO 29147, ISO 30111标准的漏洞管理支持
CRA评估和测试 (基于候选协调标准prEN 40000系列和CRA纵向标准)
CRA漏洞管理与漏洞披露认证 (基于ISO 29147, ISO 30111, prEN 40000-1-3)
CRA与IEC 62443、ISO/SAE 21434的关联
在实际工程实践中,许多企业已经在安全开发过程中实施了成熟的网络安全标准,例如IEC 62443和ISO/SAE 21434。
这些标准中同样包含了针对漏洞管理和安全事件响应的要求, 例如:
IEC 62443-4-1要求建立产品漏洞管理流程、安全补丁管理以及安全事件响应机制
ISO/SAE 21434要求持续开展漏洞监测、漏洞评估及安全更新管理,同时通过TARA(Threat Analysis and Risk Assessment) 进行分析和风险分级,为漏洞分级和优先处理提供依据
因此,对于已经实施IEC 62443或ISO/SAE 21434安全工程体系的企业而言,通常已经具备一定的漏洞管理基础能力。在此基础上,企业可以在已有ISO/SAE 21434或IEC 62443安全工程体系基础上,补充CRA特有的漏洞报告义务和支持期要求,即可逐步实现CRA合规。
作为全球领先的第三方检验检测认证机构,DEKRA德凯依托全球网络安全专家团队与本地实验室能力,在上海、广州、深圳等地提供覆盖汽车、消费电子、工业与信息通信领域的网络安全测试与认证服务,帮助企业系统性建立符合欧盟监管要求的漏洞治理能力。
关于DEKRA德凯
DEKRA德凯,百年安全保障的全球领导者。成立于1925年,DEKRA德凯旨在通过车辆检验确保道路安全。如今,DEKRA德凯已发展成为全球最大的独立非上市检验、检测和认证专家机构,覆盖广泛的行业领域。作为值得信赖的全球合作伙伴,DEKRA德凯凭借全面的服务和创新的解决方案,助力客户提升安全和可持续发展,践行百年庆典主题——“Securing the Future”。2024年,DEKRA德凯营业总额达到43亿欧元,业务遍布世界5大洲60多个国家和地区,逾48,000名员工致力于提供独立、专业的专家服务。DEKRA德凯连续荣获EcoVadis铂金评级,位列前1%的可持续发展公司之列。
点击“阅读原文”,即刻与我们联系!