欧盟委员会根据欧洲议会和理事会（EU）2024/2847号法规（Cyber Resilience Act）《网络弹性法》，发布了关于数字元素重要及关键产品类别技术描述的委员会实施条例草案。

适用范围：其适用范围为具有数字元素的产品（即软件，包括独立软件；硬件及其远程数据处理，包括硬件和软件组件），其预期用途或合理可预见用途包括与设备或网络的直接或间接逻辑或物理数据连接。

具体而言，该草案涉及《网络弹性法》附件III和IV所列的产品类别：

• 根据《网络弹性法案》第32条规定，附件III中I类数字元素重要产品需遵循协调标准、通用规范或欧洲网络安全认证计划，或通过第三方合格评定。

附件III中II类数字元素重要产品及附件IV中数字元素关键产品需通过第三方合格评定。

背景情况：网络攻击可在数分钟内蔓延至整个欧盟内部市场，且多数事件源于产品漏洞。该条例主要针对两大核心问题：

• 欧盟市场内销售的许多数字元素产品网络安全标准普遍较低；

• 制造商往往忽视在产品生命周期内提供漏洞修复更新。

计划通过以下措施解决上述挑战：

• 对制造商引入强制性横向网络安全要求，并要求其向客户提供最新信息和操作指南；

• 明确制造商需确保投放欧盟市场的数字元素产品符合网络安全标准，以防止欺诈行为并加强消费者保护；

• 通过提高安全功能透明度及强化隐私和数据保护等基本权利，使企业用户和消费者受益；

• 降低不安全数字产品相关的网络安全风险，保障人类健康与安全；

• 统一并简化欧盟范围内数字产品的网络安全要求，避免欧盟各行业及国家法律的义务冲突，提升欧盟及非欧盟经营者进入欧盟市场的法律确定性。实施计划该条例拟于2025年第3季度通过。

来源：标准国际化暨成都技术性贸易措施