2022年9月15日，针对当前硬件和软件产品越来越容易受到网络攻击的问题，欧盟公布了《网络安全弹性法案》（以下简称为“法案”）。欧盟网络弹性法案强化网络安全规则，以确保更安全的硬件和软件产品。法案明确了两个主要大目标，旨在确保内部市场的正常运作： 

1）通过确保硬件和软件产品能够以较少漏洞投入市场，并确保制造商在产品的整个生命周期中认真对待安全性，为开发具有数字元素的安全产品创造条件；

2）创造条件，使得用户在选择和使用具有数字元素的产品时会考虑网络安全。

法案还制定了四个具体目标：

1）确保制造商能够从设计和开发阶段到整个生命周期都提高带数字元素产品的安全性；

2）确保一致的网络安全框架，促进硬件和软件生产商的合规性；

3）提高带数字元素的产品的安全属性的透明度；

4）让企业和消费者能够安全地使用带数字元素的产品。

法案规定范围如下：

具有数字元素的产品（任何软件或硬件产品），其预期或合理可预见的用途是包括有与设备或网络的直接或间接逻辑或物理数据连接的。

对制造商责任规定如下：

1）将网络安全纳入规划、设计、开发、生产、交付和维护阶段的考虑范围内；

2）所有网络安全风险都需记录在案；

3）制造商必须积极上报开发出的漏洞和事故；

4）一旦售出，制造商必须确保在预期产品生命周期或五年期间（以较短者为准），能有效处理好漏洞；

5）需针对具有数字元素的产品的使用，附有清晰易懂的指引说明；

6）至少在五年内提供安全更新。

下一步行动：

1）欧洲议会和理事会将审查拟议的网络弹性法案；

2）法案生效并在强制实施前提供2年过渡期。

更多详情参见：

https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act