CRA 与 NIS2 – 整合与界定
概述
网络弹性法案 (CRA) 和 NIS2 指令(指令 (EU) 2022/2555)是互补的欧盟网络安全法规。CRA 规范产品,而 NIS2 涉及运营方(关键和重要实体)。像 BAUER GROUP 这样的公司可能同时受两项法规的约束。
法律依据
CRA 序言第20条: CRA 补充 NIS2 指令,并与其要求保持一致。符合 CRA 要求的产品有助于其运营方满足 NIS2 要求。
NIS2 Art. 21: 关键和重要实体的网络安全措施,包括供应链安全。
CRA 与 NIS2 的界定
| 标准 | CRA | NIS2 |
|---|---|---|
| 规范对象 | 含数字元素的产品 | 运营方(实体) |
| 适用对象 | 制造商、进口商、分销商 | 关键和重要实体 |
| 关注点 | 产品安全(安全设计) | 运营安全(风险管理) |
| 法律形式 | 法规(直接适用) | 指令(需国内转化) |
| 适用自 | 11.12.2027(全面) | 18.10.2024(转化期限) |
| 制裁 | 最高1500万欧元 / 2.5% | 最高1000万欧元 / 2% |
| 报告义务 | ENISA(24小时/72小时/14天) | CSIRT(24小时/72小时/1个月) |
决策树:适用哪项法规?
BAUER GROUP 是否制造含数字元素的产品?
├── 是 → CRA 适用(作为制造商)
│ └── 产品是否为 SaaS(纯云端)?
│ ├── 是 → CRA 不适用于 SaaS
│ │ └── 检查 NIS2(作为运营方)
│ └── 否 → CRA 适用
└── 否 → CRA 不适用于制造商
BAUER GROUP 是否为关键或重要实体?
├── 是 → NIS2 适用(作为运营方)
│ └── 检查行业(NIS2 Annex I/II)
└── 否 → NIS2 不适用重叠要求
漏洞管理
| 要求 | CRA | NIS2 |
|---|---|---|
| 识别漏洞 | Art. 10 第6款, Annex I 第二部分 | Art. 21 第2款 (e) |
| 修复漏洞 | Art. 10 第6-7款 | Art. 21 第2款 (e) |
| 协调披露 | Art. 10 第9款, Art. 13 第6款 | Art. 12 |
| 维护 SBOM | Art. 13 第23款 | 未明确(供应链) |
协同效应: CRA 合规的漏洞处理在很大程度上也满足 NIS2 Art. 21 第2款 (e) 的要求。
报告义务
| 方面 | CRA (Art. 14) | NIS2 (Art. 23) |
|---|---|---|
| 触发条件 | 被积极利用的漏洞或严重事件 | 重大安全事件 |
| 早期预警 | 24小时 | 24小时 |
| 通知 | 72小时 | 72小时 |
| 最终报告 | 14天 | 1个月 |
| 报告机构 | ENISA + 国家 CSIRT | 国家 CSIRT/主管机构 |
| 平台 | ENISA 统一报告平台 | 国家报告平台 |
双重报告
如果 BAUER GROUP 同时作为 CRA 制造商和 NIS2 实体受到影响,可能会触发两项独立的报告义务。欧盟正在开发简化的报告平台(ENISA SRP),旨在整合两项报告。
CRA 报告流程:ENISA 报告流程
供应链安全
| 要求 | CRA | NIS2 |
|---|---|---|
| 供应链安全 | Art. 10 第4款, Annex I 第二部分 No. 1 | Art. 21 第2款 (d) |
| 供应商尽职调查 | Annex I 第二部分 No. 1 | Art. 21 第2款 (d) |
| 第三方评估 | 第三方评估 | 供应商评估 |
协同效应: CRA 合规的供应链流程也满足 NIS2 Art. 21 第2款 (d) 的供应链要求。
事件响应
| 要求 | CRA | NIS2 |
|---|---|---|
| 事件响应计划 | 隐含(Art. 10) | Art. 21 第2款 (b) |
| 业务连续性 | 未明确 | Art. 21 第2款 (c) |
| 危机管理 | 未明确 | Art. 21 第2款 (c) |
差距: NIS2 明确要求业务连续性和危机管理,而 CRA 侧重于产品安全。
综合合规策略
第1步:确定范围
| 问题 | 结果 |
|---|---|
| 我们是否制造含数字元素的产品? | → CRA 义务 |
| 我们是否为关键/重要实体(NIS2 Annex I/II)? | → NIS2 义务 |
| 我们是否运营 SaaS 产品? | → NIS2(非 CRA) |
| 我们是否进口非欧盟产品? | → CRA 进口商义务 |
第2步:利用协同效应
以下流程可同时覆盖两项法规:
第3步:NIS2 特定补充
超出 CRA 的 NIS2 要求:
| NIS2 要求 | 描述 | CRA 覆盖 |
|---|---|---|
| Art. 21(2)(a) | 风险管理策略 | 部分(与产品相关) |
| Art. 21(2)(b) | 事件响应 | 是 |
| Art. 21(2)(c) | 业务连续性 | 需单独实施 |
| Art. 21(2)(d) | 供应链安全 | 是 |
| Art. 21(2)(e) | 漏洞处理 | 是 |
| Art. 21(2)(f) | 网络卫生与培训 | 需单独实施 |
| Art. 21(2)(g) | 密码学 | 部分 |
| Art. 21(2)(h) | 人力资源安全 | 需单独实施 |
| Art. 21(2)(i) | 多因素认证、安全通信 | 部分 |
| Art. 21(2)(j) | 资产管理 | 部分(SBOM) |
第4步:统一报告流程
对于同时受两项法规约束的公司:
- 联合初步评估流程用于事件
- 并行报告给 CRA 和 NIS2 机构(在统一平台可用之前)
- 统一模板(ENISA 早期预警)
- 文档化的决策逻辑: 哪个事件触发哪项报告义务
时间表
| 日期 | 事件 |
|---|---|
| 18.10.2024 | 成员国的 NIS2 转化期限 |
| 11.09.2026 | CRA 报告义务生效(Art. 14) |
| 11.12.2027 | CRA 全面适用 |
建议
从 NIS2 合规开始(已经适用),并将已实施的流程作为 CRA 合规(自2027年起)的基础。这样可以避免重复工作,并创建一个综合合规框架。