《网络弹性法案》(CRA)是一项里程碑式法规,由欧盟委员会于2024年11月正式颁布(法规(EU) 2024/2847)。将于2027年12月全面生效。该法规强制要求:任何在欧盟境内销售含有数字元素的产品或服务的公司,都必须符合本法规的规定,方能获得CE认证标志。
这些功能安全要求为欧洲境内销售的产品和服务设定了安全基准。
这些要求旨在确保企业遵循安全实践与流程,其中包括:
恩智浦高度重视安全与合规,并致力于为客户提供支持,以满足他们的需求并符合各项监管要求。
恩智浦承诺严格遵守所有适用法律与法规。其中包括同样适用于半导体行业的《网络弹性法案》(CRA)。恩智浦正积极筹备《网络弹性法案》的落地实施。敬请知悉,《网络弹性法案》定于2027年12月11日起强制执行。目前,该法规中的若干具体要求仍在完善与明确过程中。恩智浦正密切关注该法规的进展,以保障及时合规。作为此项工作的一部分,恩智浦将提供明确的声明文件,阐述我们的产品系列将如何符合《网络弹性法案》中相应类别的要求。
自《网络弹性法案》合规要求正式生效之日起,恩智浦在欧洲销售的所有产品均将获得CE认证标志。恩智浦凭借其安全开发流程,在医疗、汽车及工业领域积累了遵守类似要求的丰富经验,并已通过IEC 81001-5-1、IEC 62443-4-1及ISO 21434等ISO与IEC行业认证。
恩智浦的合规与安全认证以EdgeLock® Assurance保障计划为支撑,并经由广泛的安全合规认证得到验证。公司级安全认证可在此查阅。
我们的流程均遵循《网络弹性法案》的核心原则,其中包括:
恩智浦安全开发流程与信息安全管理体系(ISMS)的全面概述,阐述了公司层面的业务创建与管理(BCaM)框架、恩智浦安全成熟度流程(SMP)以及统领性的产品安全计划。
我们的开发流程植根于“设计安全”的核心原则,并已通过ISA/EIC 62443 4-1 ML3 (工业控制系统)、ISO/SAE 21434 (汽车)及IEC 81001-5-1 (医疗)等行业标准的验证与认证。
我们的产品在开发过程中,均会接受采用先进工具进行的严格安全测试。部分产品亦会通过外部合作伙伴进行测试,详见我们经过认证的EdgeLock® Assurance保障计划。
恩智浦专门成立了产品安全事件响应小组(PSIRT),严格遵循既定流程,及时处理安全漏洞与事件。该团队会就已上报漏洞的影响、严重级别及缓解措施提供明确指导。
恩智浦积极参与欧洲内部的标准化与行业组织(如CENELEC、ETSI、GlobalPlatform、Auto-ISAC和Matter),为《网络弹性法案》的持续完善贡献力量。这种深度参与确保我们的流程、程序与实践能够持续合规并与时俱进。
恩智浦提供一系列全面的产品组合以支持您的安全应用,其产品不仅具备强大的安全功能,更以易用的工具与广泛的合作伙伴生态系统为后盾。
| 必备安全能力 | 配套安全功能 | 相应的保护机制 |
|---|---|---|
| 产品配置 |
|
|
| 产品身份验证 |
|
|
| 获取产品 |
|
|
| 数据保护 |
|
|
| 产品监测与网络状态感知 |
|
|
| 漏洞修复与产品更新 |
|
|
|
|
|
必须根据已识别的风险、适用的威胁模型以及针对特定用例的既定缓解措施来选择适当的保护措施。请查阅恩智浦的产品数据手册与安全手册,以获取特定安全功能的可用性信息。
恩智浦通过一系列集成式安全技术来实现这些保护功能,这些技术能够提供设备保护所需的稳健性、完整性和弹性,从而在整个设备生命周期内满足CRA的安全目标。
提供针对敏感资产和安全功能的硬件级隔离,提供的保护力度远超纯软件解决方案。这种基于芯片锚定的隔离机制有助于防止对产品的未授权访问或篡改,强化了设计安全原则,并增强了在整个设备生命周期内抵御攻击的能力。该机制与CRA中涉及数据保护的基本网络安全要求(1(2) d、e、g、h、k、m)契合。
为OEM提供经过强化和第三方认证的基础,帮助其满足CRA的基本网络安全要求。OEM可利用其防篡改密钥和凭证存储、内置加密引擎,以及对安全认证和更新验证的支持,实现默认安全的终端产品。此外,EdgeLock安全芯片与验证芯片系列获得了Common Criteria认证,可简化终端产品的合规性评估。该机制与CRA中涉及数据保护的基本网络安全要求(1(2) d、e、g、h、k、m)契合。
通过在整个产品生命周期内实现安全、可扩展的配置和密钥管理,简化CRA合规流程。EdgeLock 2GO支持现场凭证保护与管理、安全更新以及漏洞处理,帮助制造商满足CRA中与漏洞缓解、安全生命周期操作以及现场安全维护相关的关键要求。该服务采用与CRA基本网络安全要求(1(2) b、c、d、e、f、h、m)一致的设计安全原则,降低了实施复杂性和系统的攻击面。
通过确保唯一的设备ID、证书和凭证以受控、可追溯且防篡改的方式进行配置,支持CRA中关于安全供应链实践的基本网络安全要求(1(2) b、c、d、e、f、h、m)。
实施设备干扰检测与响应机制。这能够满足CRA中关于防止未授权访问或篡改、降低安全事件影响以及增强整体产品弹性的基本网络安全要求(1(2) d、e、f、j、k)。
引入了旨在抵御未来基于量子计算攻击的加密算法。这与CRA的基本网络安全要求(1(2) d、e、f、h、k、m)保持一致。
|
了解《网络弹性法案》如何重塑产品安全预期,以及恩智浦如何以可扩展的、合规就绪解决方案赋能制造商,使其胸有成竹地迎接这一全新的监管时代。 |
培训讲稿 |
2026年1月1日 |
|
|
AN14671:依托EdgeLock Discrete产品组合简化CRA合规流程 了解EdgeLock Discrete产品组合如何助力OEM厂商落实CRA合规要求 |
应用笔记 |
2025年10月13日 |
|
|
探索恩智浦与PHYTEC如何通过集成硬件安全技术、融入安全设计理念及实施全生命周期管理,助力构建安全的嵌入式系统。 |
白皮书 |
2025年7月10日 |
|
|
了解如何满足CRA对安全产品设计和生命周期的要求。 |
白皮书 |
2025年7月10日 |
|
|
了解i.MX 93如何助力OEM厂商落实CRA合规要求 |
应用笔记 |
2025年6月25日 |
|
|
了解MCX N如何助力OEM厂商落实CRA合规要求 |
应用笔记 |
2025年6月20日 |
|
|
探索恩智浦如何提供可扩展、模块化的安全解决方案,以增强弹性与合规性,并提供实用的部署方案以及强大的监管支持。 |
培训讲稿 |
2025年1月1日 |
|
|
在全球安全监管持续收紧的背景下,了解关键要求变得至关重要。探索恩智浦如何助力简化合规工作,并全面提升设备及软件层面的产品安全。 |
培训讲稿 |
2024年3月1日 |
|
|
如需查看所有文档,请浏览我们的文档库。 |
|||
恩智浦提供的所有信息在其认知范围内力求准确,且该等信息的提供不构成亦不旨在创设或加重恩智浦的任何义务。所有信息均按 “原样” 提供,恩智浦不对其作出任何明示或默示的声明或保证,包括但不限于关于准确性、完整性、产品对特定用途的适用性、以及信息、测试结果、分析或评估无需客户进一步测试或修改即可靠的任何保证。对于因恩智浦提供的任何信息或协助所引起、与之相关或伴随发生的任何性质的损害或损失,恩智浦均不承担任何责任。客户应对其自身应用和产品的设计及运营负全部责任,且必须采取适当的设计与操作安全措施,以最大限度降低其应用和产品相关的风险。
尽管目前还没有任何公司能够正式声称符合CRA(负责CRA合规评定的机构尚未获得正式授权),但CRA明确承认经过SESIP、PSA和Common Criteria认证的产品已具备符合要求的条件。
在实践中,这些认证,再结合我们的EdgeLock Assurance保障计划以及经过IEC 62443/ISO 21434认证的开发流程,已经为客户提供了CRA要求的预期保障水平,并使恩智浦成为低风险、CRA就绪的供应商。
“投放市场”是指产品首次由制造商进行销售或转让(如恩智浦→代理商)。该事件触发CRA和CE标志义务。
“使其可获得”是指供应链中的任何后续分销行为(如代理商→集成商)。这种情况可能发生多次,但不会重置合规义务。
自2027年12月起,在欧盟市场上销售的任何产品,都必须在投放市场时满足CRA要求,并且该事件也标志着支持期的开始。
CRA合规意味着证明产品满足《网络弹性法案》的基本网络安全要求,因此有资格获得CE标志,而CE标志是产品在欧洲销售所必需的。
要实现CRA合规,制造商必须:
只有当所有这些步骤全部完成后,产品才能被视为符合CRA要求。
如果同时满足以下三个条件,则产品必须符合CRA的要求:
补充说明: 欧盟委员会已发布关于CRA(实施条例(EU) 2025/2392)下“重要”和“关键”产品类别的详细技术说明 ,帮助制造商确定其产品是否属于需要更严格合规评定的更高风险类别。
不是。CRA的类别适用于最终产品,而非每个单独的组件。您可以使用任何类别的组件,但需要做到以下几点:
需要遵循哪种合规评定路径,取决于设备的类别,而非其组件的分类。
自2027年12月11日起,任何投放到欧盟市场的设备都必须符合CRA的要求,包括在此日期之后继续销售的旧款产品。
CRA合规并非一次性工作,而是一个持续的过程。制造商须履行以下义务:
所有类别都需满足相同的基本网络安全要求,但证明机制有所不同:
安全启动是必不可少的,但仅靠它本身不足以满足CRA的合规要求。
安全启动有助于保护软件完整性,这是CRA所要求的,但要符合CRA的规定还需要具备以下能力:
每项要求都必须基于产品层面的风险评估加以落实,制造商必须对未实施的任何措施作出合理解释。