G/TBT/N/EU/936-欧洲议会和欧盟理事会关于数字元素产品横向网络安全要求的法规提案，以及修订（EU）第2019/1020号法规（COM（2022）454最终版）-广东省应对技术性贸易壁垒信息平台-广东省WTO/TBT预警|TBT通报|WTO通报|出口预警|贸易壁垒

当前位置：广东省应对技术性贸易壁垒信息平台通报与召回TBT通报

字体：大

小中大

世界贸易组织

G/TBT/N/EU/936
2022-11-29

技术性贸易壁垒

通报

以下通报根据TBT协定第10.6条分发

1.	通报成员：欧盟
2.	负责机构：欧盟委员会
3.	通报依据的条款：[X] 2.9.2,[ ] 2.10.1,[ ] 5.6.2,[ ] 5.7.1 通报依据的条款其他：
4.	覆盖的产品：具有数字元素（即软件，包括独立软件，以及硬件及其远程数据处理，包括硬件和软件组件）的产品，其预期或合理可预见的使用包括与设备或网络的直接或间接逻辑或物理数据连接。 ICS：[{"uid":"35"}] HS：[]
5.	通报标题：欧洲议会和欧盟理事会关于数字元素产品横向网络安全要求的法规提案，以及修订（EU）第2019/1020号法规（COM（2022）454最终版）页数：16页；87页使用语言：英文；英文链接网址：
6.	内容简述：欧盟委员会于2022年9月15日发布的立法提案，规定了《网络弹性法案》（CRA），旨在为具有数字元素的产品设定横向网络安全要求。拟议的措施基于欧盟产品立法的新立法框架，并将适用于在欧盟内部市场运营的不同经济运营商，包括具有数字元素产品的制造商、进口商和分销商。这些规则将同样适用于欧盟和非欧盟经济运营商打算投放欧盟市场的产品。规则草案规定了：将带有数字元素的产品投放市场以确保其网络安全的规则；带有数字元素的产品的设计、开发和生产的基本要求，以及经济运营商对这些产品的义务；制造商为确保带有数字元素的产品在整个生命周期中的网络安全而制定的漏洞处理流程的基本要求，以及经济运营商对这些流程的义务。制造商还必须报告积极发掘的漏洞和网络安全事件，与合格评定和适用程序相关的规则，以验证基本要求（根据产品的关键程度，基于自我评估或第三方评估）以及需要更严格的合格评定程序的“关键产品”清单。该提案区分了第一类和第二类关键产品，反映了与这些产品相关的网络安全风险水平，市场监督和执行规则。如果已经证明产品符合适用要求（通过合格评定），制造商应起草一份欧盟符合性声明，并能够加贴CE标志。CE标志将表明产品与数字元素的一致性，以便这些产品可以在欧盟内部市场自由流通。为了促进符合数字元素产品制造商的基本要求，《网络弹性法案》的通过可能会导致标准化，即根据提案第3（34）条和第18条制定“统一标准”。此类标准化工作将根据欧盟标准化条例（（EU）第1025/2012号条例）（见和提案第38条和第3（34）条）进行，并将考虑现有的欧洲和国际标准。因此，在可能导致制定“统一标准”以支持实施CRA的准备过程中，欧盟委员会将支持对具有数字元素的产品的现有网络安全标准进行映射和差距分析的研究。在CRA的背景下，也可以考虑关于受监管产品合格评定和标记的双边（政府间）互认协议（见提案第67条）。
7.	目的和理由：网络攻击在几分钟内跨越内部市场的边界蔓延，大多数此类攻击源于对产品漏洞的利用。因此，该法规一方面解决了目前在欧盟内部市场上使用数字元素的许多产品的网络安全水平低的问题，另一方面，制造商往往不提供更新来解决这些产品整个生命周期中的漏洞。规则草案建议通过对制造商提出强制性的横向网络安全要求，并有义务向客户提供最新的信息和说明来解决这两个方面的问题。规则草案规定了制造商的责任，制造商必须确保符合在欧盟内部市场上销售的具有数字元素的产品的安全要求。因此，这些规则草案旨在防止欺骗性做法和加强对消费者的保护。它们还将通过提高安全财产的透明度和确保更好地保护隐私权和数据保护等基本权利，为企业用户和消费者提供支持。该提案将通过防止因带有数字元素的不安全产品而导致的网络安全事件，加强对人类健康和安全的保护。该规则草案还旨在协调和简化带有数字元素的产品的网络安全要求，并避免因欧盟部门和国家立法的不同部分而导致要求重叠。这将为整个欧盟的运营商和用户，包括旨在进入欧盟市场的非欧盟运营商，创造更大的法律确定性；未具体说明
8.	相关文件：新立法框架包括以下立法：欧洲议会和欧盟理事会2019年6月20日关于产品市场监督和合规性的（EU）第2019/1020号法规：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32019R1020；欧洲议会和欧盟理事会2008年7月9日（EC）第765/2008号法规，规定了与产品营销相关的认证和市场监督要求：https://eur-lex.europa.eu/legal-content/EN/TXT/? uri=CELEX%3A32008R0765；欧洲议会和欧盟理事会2008年7月9日关于产品营销通用框架的（EC）第768/2008号决定：https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32008D0768（本决定为未来立法提供了共同原则和参考规定的依据）；欧洲议会和欧盟理事会2012年10月25日关于欧洲标准化的（EU）第1025/2012号法规：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32012R1025
9.	拟批准日期：在欧洲议会和欧盟理事会通过该提案后，该提案可能在2024年生效。拟生效日期：建议该法规在生效后24个月（过渡期）完全适用
10.	意见反馈截至日期：自通报之日起90天内
11.	文本可从以下机构得到：

欧洲议会和欧盟理事会关于数字元素产品横向网络安全要求的法规提案，以及修订（EU）第2019/1020号法规（COM（2022）454最终版）
欧盟委员会于2022年9月15日发布的立法提案，规定了《网络弹性法案》（CRA），旨在为具有数字元素的产品设定横向网络安全要求。拟议的措施基于欧盟产品立法的新立法框架，并将适用于在欧盟内部市场运营的不同经济运营商，包括具有数字元素产品的制造商、进口商和分销商。这些规则将同样适用于欧盟和非欧盟经济运营商打算投放欧盟市场的产品。规则草案规定了：将带有数字元素的产品投放市场以确保其网络安全的规则；带有数字元素的产品的设计、开发和生产的基本要求，以及经济运营商对这些产品的义务；制造商为确保带有数字元素的产品在整个生命周期中的网络安全而制定的漏洞处理流程的基本要求，以及经济运营商对这些流程的义务。制造商还必须报告积极发掘的漏洞和网络安全事件，与合格评定和适用程序相关的规则，以验证基本要求（根据产品的关键程度，基于自我评估或第三方评估）以及需要更严格的合格评定程序的“关键产品”清单。该提案区分了第一类和第二类关键产品，反映了与这些产品相关的网络安全风险水平，市场监督和执行规则。如果已经证明产品符合适用要求（通过合格评定），制造商应起草一份欧盟符合性声明，并能够加贴CE标志。CE标志将表明产品与数字元素的一致性，以便这些产品可以在欧盟内部市场自由流通。为了促进符合数字元素产品制造商的基本要求，《网络弹性法案》的通过可能会导致标准化，即根据提案第3（34）条和第18条制定“统一标准”。此类标准化工作将根据欧盟标准化条例（（EU）第1025/2012号条例）（见和提案第38条和第3（34）条）进行，并将考虑现有的欧洲和国际标准。因此，在可能导致制定“统一标准”以支持实施CRA的准备过程中，欧盟委员会将支持对具有数字元素的产品的现有网络安全标准进行映射和差距分析的研究。在CRA的背景下，也可以考虑关于受监管产品合格评定和标记的双边（政府间）互认协议（见提案第67条）。

通报原文：[{"filename":"EU936.docx","fileurl":"/uploadtbtsps/tbt/20221129/EU936.docx"}]

附件：