• 欧盟的《网络韧性法案》(CRA)将重塑整个欧盟对数字产品的监管方式。
  • RIPE NCC于 2024 年 12 月 12 日发布的 RIPE 社区演讲中,隐私与合规专家 August Bournique 详细解析了 CRA 的影响,尤其是对开源软件的影响。

发生了什么

CRA于 2024 年正式通过,是欧盟为确保具有网络组件的数字产品的安全性和透明度而做出的最新努力。到 2027 年,所有受影响的产品都必须遵守严格的安全要求。这一时间表包括多个阶段,首先是制造商在 2026 年开始强制报告漏洞和脆弱性。

从 2027 年起,制造商需要遵守技术文档标准并获得其产品的认证。CRA 还引入了一个面向消费者的标志,以表明产品符合欧盟标准。虽然此举旨在统一各成员国的安全标准,但也带来了挑战,尤其是对开源项目等小型实体而言。

另请阅读:欧盟委员会推出可持续金融常见问题解答
另请阅读:Virkkunen 和 Ribera 将领导 2024 年欧盟电信监管

Bournique 强调,开源项目通常不受 CRA 约束,除非它们具有商业元素。然而,什么构成“商业性”开源项目仍不明确。例如,接受捐赠或提供维护服务并不一定使项目被视为商业化。然而,明确出售用于集成到商业产品中的项目可能属于 CRA 的适用范围。

该法案还严重依赖自我评估和认证,Bournique 指出,由于执法资源有限,这可能存在问题。欧盟网络安全机构 ENISA 和国家团队预计将监督合规情况,但主要监管机构仅有约 100 名员工,负担可能转移到制造商身上,以确保他们满足要求。

为什么这很重要

CRA 旨在提高消费者信任并统一网络安全标准,但其广泛的范围可能产生意想不到的后果。开源开发者通常在传统商业框架之外运作,他们不确定 CRA 如何(或是否)适用于他们的工作。虽然大多数非商业项目可能获得豁免,但用于商业产品的项目仍可能遇到合规障碍。

Bournique 提到,即使有豁免,较小的组织也可能在法律模糊性和潜在的合规成本方面面临困难。对于商业化开源项目,遵循 CRA 可能意味着聘请法律顾问或面临处罚风险。然而,小型企业可获得让步,例如减少罚款,并且正在通过 Linux Foundation 等非政府组织努力制定行业特定标准。

CRA 也标志着监管机构对数字产品安全看法的一个转变。通过从开发阶段就优先考虑网络安全,欧盟希望预防违规行为,而不仅仅是做出反应。然而,正如 Bournique 所指出的,执法可能会随着时间的推移而演变,法律的解释将塑造其实际应用方式。

考虑到 CRA 对开源社区的影响,Bournique 在 RIPE NCC 活动上的演讲尤为及时。作为在隐私和合规问题方面经验丰富的人,他提供了关于该法规如何挑战当前实践的重要见解。随着开源生态系统在网络技术发展中发挥关键作用,CRA 既是一个障碍,也是一个重新思考数字安全保障方法的机会。

随着 2027 年最后期限临近,各组织和开发者需要密切关注这些法规的演变,确保他们的工作在一个日益受监管的数字环境中保持可行性。