遵守《欧盟网络复原力法》和 NIS2：工业制造商指南

遵守《欧盟网络复原力法》和 NIS2：工业制造商指南 

随着制造业务日益数字化和互联化，欧洲监管机构推出了两项具有里程碑意义的措施来加强网络安全，它们是 网络复原力法》（CRA） 以及修订后的 NIS2 指令.这些新规则旨在保护制造商制造的产品及其使用的工业系统。对于运行工业软件（如罗克韦尔自动化的平台）的制造商而言，了解并遵守 CRA 和 NIS2 现在是至关重要的优先事项。本指南解释了每项法律的目的和范围、规定的义务，以及制造企业如何通过合理的网络安全和风险管理实践来满足这些要求。 

什么是 CRA 和 NIS2？ 

网络复原力法》（CRA）： CRA 是欧盟的一项法规，主要针对具有数字元素的产品的网络安全。它引入了强制性安全要求，制造商必须在硬件和软件中加入这些要求，这些产品才能在欧盟销售。从本质上讲，CRA 为我们所熟悉的产品安全 CE 标志制度增加了网络安全层面。从 2027 年起，任何 "具有数字元素的产品"（本质上是任何可以连接到其他设备或网络的设备或软件）都必须符合基准安全标准，否则不得在欧盟市场上销售。CRA 强调 设计安全 在产品的整个生命周期内，都要对产品的安全、开发、持续的漏洞管理和透明的安全信息进行监控。作为一项欧盟法规（而非指令），它在过渡期后直接适用于所有成员国，主要义务将于 2027 年 12 月生效。 

NIS2 指令： NIS2 是欧盟的第二项网络与信息安全指令，它更新并加强了 2016 年最初的 NIS 指令。其重点是在组织层面改进关键部门基本和重要服务运营商的网络安全实践。NIS2 大幅拓宽了所涵盖的行业范围，包括 包括制造、化工、废物管理、食品等领域 - 除了传统上公认的关键基础设施，如能源、交通、水、卫生和数字基础设施。到 2024 年 10 月，欧盟各国必须将 NIS2 转化为国家法律。被归类为 "基本 "或 "重要 "实体 根据这些法律，企业将有义务实施网络安全风险管理措施并报告网络事件。NIS2 从根本上为网络卫生和治理设定了更高的基线，目的是减少违规行为，提高重要供应链的复原力。 

在 NIS2 中，涵盖了广泛的部门。"基本实体"（绿色示例）包括能源、交通、卫生和金融等传统的关键基础设施，而许多 制造和工业 部门（灰色示例）被指定为 "重要实体"。两类实体都必须遵守 NIS2 的安全要求，但重要实体面临的处罚门槛可能略低。

为什么要制定两部不同的法律？ 简而言之 NIS2 解决组织和运营安全问题（确保关键部门的公司实行良好的网络安全和事件响应），而 CRA 解决产品安全问题（确保投放欧盟市场的任何数字产品在设计上都是网络安全的）。它们是相辅相成的。制造企业作为 "重要实体"，需要对其工厂的网络风险进行管理，因此可纳入 NIS2 的范围、 和 如果企业为市场生产或集成数字产品（如智能机器或工业控制软件），则可能还需要遵守 CRA 的规定..这些举措共同为整个欧洲创建了一个更加一致和全面的网络安全框架。 

制造商在《网络复原力法》（CRA）下的义务 

网络复原力法》规定了以下直接义务 数码产品制造商 以确保这些产品在到达客户手中之前和之后都是安全的。CRA 的主要职责包括 

• 安全产品设计与开发： 制造商必须按照以下要求设计和制造产品 "设计和默认安全" 原则。从开发之初就应考虑安全风险。例如，产品应包括必要的访问控制、数据加密和防止未经授权访问的默认设置。 

• 基本安全要求： 网络安全法》定义了一套基本网络安全要求（列于该法附件 I），每个范围内的产品都必须满足这些要求。这些要求包括 设计期间的保护 和 运行期间的安全 产品的质量。在实践中，这意味着要进行彻底的 风险评估 产品，并采取措施降低已发现的风险。尽管法律文本是高层次的，但详细的 欧盟统一标准 对于工业软件或设备，制造商可能会借鉴 IEC 62443（工业控制系统安全）或 ISO 27001 等标准来帮助满足这些要求。 

• 技术文档和安全信息： 制造商必须为每种产品准备全面的 技术文档 证明其如何满足 CRA 的基本要求。这些文件必须包括产品的架构和设计细节、所进行的风险分析以及 漏洞管理流程 此外，制造商还必须提供明确的产品信息（包括软件物料清单或 SBOM）。此外，制造商必须提供明确的 用户说明和安全信息 与产品一起提供。这些文件应告诉客户如何安全地使用产品--例如，安装时的配置步骤、如何应用安全更新以及关于不安全使用方法的警告。实际上，作为产品文档的一部分，用户应该收到一份产品的 "网络安全手册"。 

• 合格评定和 CE 标志： 产品在欧盟境内销售前，制造商必须进行以下检查 合格评定 以验证产品符合 CRA 的要求。对于大多数产品来说，这可以是一项自我评估，由制造商在内部验证合规性（并承担责任）。但是，对于某些高风险类别的产品，第三方 通知机构 必须在批准前对产品的安全性进行测试或审核。(CRA 附件 III/IV 中列出的这些高风险类别包括工业控制系统、关键网络设备、某些物联网设备和其他可能对安全产生重大影响的敏感产品）。一旦完成适当的评估，制造商就会发出 欧盟合格声明 并贴上 CE 标志 作为产品符合所有适用要求（包括网络安全）的声明。这一过程与其他产品法规如出一辙：CE 标志现在除了安全之外，实际上还包含了网络安全内容。 

• 维护和修补义务： 合规并不是产品上市时的一次性工作，CRA 规定了持续的责任。制造商必须 在合理期限内为其产品提供安全更新和支持.事实上，该法至少规定了 5 年安全支持 产品进入市场后（或在产品的预期使用寿命内，如果更短）。在该支持窗口期间发布的安全更新应至少在以下时间内提供给用户 10 年 发布后进行更新。这确保了即使是长期在现场使用的设备也能针对新威胁进行更新。对于使用工业软件的制造商来说，这意味着要规划长期的补丁可用性，不要过快淘汰支持--这对于使用寿命可能长达十几年的工厂设备来说至关重要。 

• 漏洞披露和事件报告： 遵守 CRA 规定的一个核心部分是建立健全的 漏洞处理流程.生产商必须设置报告其产品安全漏洞的途径（例如为研究人员或客户提供披露漏洞的联络点）。制造商应监控并解决其产品中任何组件（包括第三方软件库）的漏洞。重要的是，如果制造商意识到产品中存在以下漏洞 被主动利用的漏洞 在产品或任何 事件 如果出现严重影响产品安全的问题，生产商有义务通知相关部门。根据 CRA，制造商必须通过欧盟门户网站（将由 ENISA 运行）报告此类问题 "不无故拖延" - 最初的 24 小时内预警 并在 72 小时内提交更全面的报告。例如，如果发现工业控制软件中的缺陷被攻击者在野外使用，该软件的制造商必须在一天内向监管机构发出警报。这些报告义务促使制造商在处理其产品面临的网络威胁时做到透明和迅速。 

不遵守 CRA 可导致 严惩这反映了欧盟对产品安全的重视程度。监管机构可对最严重的违规行为处以最高 1500 万欧元或全球年营业额 25% 的罚款（以较高者为准）。简而言之，工业产品制造商需要将网络安全作为产品质量的核心部分，从最初的设计到长期的支持，都要符合 CRA 的要求。 

制造商在 NIS2 下的义务 

如果您的制造组织属于 NIS2 的范围，成为 要根据该指令，您将面临一系列广泛的网络安全治理和风险管理义务。NIS2 的目的是确保运营关键业务的公司（包括制造供应链中的许多公司）遵守基准最佳实践。主要要求包括 

• 实施网络安全风险管理计划： NIS2 要求公司 "实施适当和适度的风险管理措施" 以应对网络威胁。在实践中，首先要定期 风险分析 您的信息系统和工业控制系统。在这些风险评估的基础上，企业必须制定安全政策和控制措施，以降低已识别的风险。对于制造商来说，这可能涉及评估工厂车间网络爆发恶意软件的风险，然后部署保障措施（如网络分段或在人机界面上更新杀毒软件）以降低风险。 

• 基线安全措施： NIS2 第 21 条规定了受控实体必须执行的一套最低限度措施。这些措施包括 
  1) 安全政策和程序 基于风险分析--例如，有文件记录的 OT 系统安全管理流程。 
  2) 事件处理 - 具备检测、报告和应对事件的能力。这意味着要针对网络攻击或漏洞制定事件响应计划，并进行内部演练，以应对勒索软件或 ICS 恶意软件的情况。 
  3) 危机管理和业务连续性 - 计划，以确保在网络事件造成中断时，企业能够恢复和维持关键生产。例如，在控制系统瘫痪时手动操作某些流程的应急计划，以及定期备份生产数据的计划。 
  4) 供应链安全 - 评估和保护供应链安全的措施，包括对供应商进行网络安全尽职调查，并确保您的供应商（如软件供应商或设备原始设备制造商）遵循适当的网络安全实践。我们将在下文对此进行详细讨论。 
  5) 网络和信息系统的安全 - 确保网络和系统安全的技术措施，如防火墙、入侵检测、安全配置和系统监控。在 OT 环境中，这可能涉及将工业网络与互联网隔离、在控制设备上设置白名单软件以及加固 PLC 和 SCADA 系统配置。 
  6) 事件应对和危机沟通 - 明确规定向受影响各方和监管机构通报事故的流程。NIS2 规定了严格的 事件报告期限监管机构：必须在发现重大网络事件后 24 小时内通知监管机构，72 小时内提交详细报告，一个月内提交最终评估报告。制造商需要为满足这些时限要求做好准备，这可能涉及到建立全天候监控或外部网络安全合作伙伴，以快速检测和报告事件。 
  7) 网络卫生与培训 - NIS2 认识到，仅有技术是不够的；企业必须推广良好的网络卫生习惯，并定期对员工进行网络安全培训。例如，应教育工厂员工识别网络钓鱼电子邮件或安全使用 USB 设备，以防止将恶意软件引入工业控制系统。 
  8) 数据安全和加密 - 通过加密和安全数据存储等措施保护数据的机密性和完整性。
  9) 访问控制和身份管理 - 改进识别和身份验证措施，即强大的密码政策、远程访问的多因素身份验证以及关键系统的适当用户访问管理。
  10) 人力资源安全 - 有关人事的政策，如敏感岗位工作人员的背景调查和安全意识要求。

• 指定安全责任人： NIS2 将要求各组织正式指定一名或多名人员负责合规和与当局联系。公司可能必须 登记 并为 NIS2 通信提供一个联络点。对于在多个欧盟国家开展业务的制造企业来说，这可能比较复杂--您可能需要在有实质性业务的每个国家进行注册，因为 "主要营业所 "原则（一国注册）可能并不总是适用于分布式生产基地。

• 事件报告和响应： 如前所述，NIS2 的一个主要变化是 严格的事件报告时限.任何重大网络事件（造成重大业务中断或经济损失，或影响其他实体）都必须在以下时间内通知主管当局 24 小时 发现。通常要求在 72 小时内提供更多更新（详细的事件报告），并在一个月内提供最终的事件后报告。这意味着制造商必须制定内部流程，将网络安全事件（无论是 IT 还是 OT）迅速上报给事件响应团队和法律/合规团队。此外，与国家 CSIRT（计算机安全事件响应小组）保持联系以获得指导也是明智之举。报告之外、 有效应对 这一点至关重要--NIS2 促使企业在处理事件时尽量减少对更广泛供应链的影响。例如，如果关键制造工厂受到勒索软件攻击，您不仅要通知监管机构，还可能需要提醒重要的下游客户或合作伙伴，特别是如果您为医疗保健或能源等其他 NIS2 监管行业供货。NIS2 促使人们认识到，网络安全是相互关联的供应链的共同责任。

• 供应链协调： 与此相关的是，NIS2 希望在网络事件发生时，供应链能够提高透明度并加强合作。深入他人供应链的制造商应预计到 "向下流动 "义务 - 主要客户可能会在合同中加入条款，要求供应商及时向其通报违规情况，并在事件响应方面进行合作。因此，提高自身的事件响应能力（包括涉及供应商和客户的沟通计划）是 NIS2 合规性的一部分。 

• 监督和处罚： NIS2 具有强制执行力。国家监管机构将对合规情况进行监督，不履行 NIS2 义务的罚款最高可达 1000 万欧元或全球年营业额的 2% 重要实体最高可被罚款 700 万欧元或 1.4%）。在某些情况下，高级管理层可能会对违规行为负责。因严重的网络安全失误而被公开谴责所造成的声誉损失，也是促使企业合规的另一个强大动力。总之，网络安全不再只是制造商的 "最佳实践"，它是一项法律要求，一旦疏忽就会带来真正的后果。 
  

合规的关键网络安全和风险管理实践 

对于使用工业软件和系统的制造商来说，遵守 CRA 和 NIS2 可能听起来令人生畏。然而，所要求的核心实践与许多组织已经在实施的良好网络安全管理基本一致。以下是满足这些法规要求的关键步骤和最佳实践： 

• 采用安全框架： 利用既定的网络安全框架可以为合规提供路线图。许多制造商已经遵循以下标准 ISO/IEC 27001 (信息安全管理）或 NIST 网络安全框架对其 IT/OT 系统的要求。这些都可以成为满足 NIS2 要求的 "跳板"。同样，工业控制系统标准，如 IEC 62443 为确保控制网络和产品开发生命周期的安全提供指导。将您现有的安全控制措施与 NIS2 的措施相对照，是一个很好的起点..例如，IEC 62443-3-3 涵盖了 ICS 的网络分段和访问控制，直接支持 NIS2 对安全网络和信息系统的要求。如果您拥有通过 ISO 27001 认证的 ISMS（信息安全管理系统），那么您将拥有许多管理组件，但要做好扩展的准备（NIS2 的控制比 ISO 27001 更具体，涵盖的组织部分更广）。 

• 保护您的 OT 基础设施： 制造商应评估并加强操作技术 (OT) 环境的安全性，即工厂车间的工业控制系统、SCADA 和联网设备。这包括以下步骤：在 IT 和 OT 之间实施网络分段，以限制攻击扩散；更新或隔离不易打补丁的传统系统；在控制系统外围使用防火墙/IPS；以及确保对机器的远程访问进行强大的身份验证。许多 OT 网络的设备比较老旧，在设计时没有考虑到网络安全问题，因此补偿控制措施非常重要。投资于涵盖 OT 的现代安全监控（如工业网络异常检测工具）有助于满足 NIS2 关于实时检测事件的要求。 

• 定期风险评估和审计： NIS2 和 CRA 都坚持采用基于风险的方法。定期对企业 IT 系统和工厂控制系统进行网络安全风险评估。确定最大的威胁是什么（勒索软件、内部人员滥用、供应链漏洞等），并评估潜在的业务影响（如停产、安全隐患、知识产权盗窃）。利用这些评估确定安全改进的优先次序。此外，还应考虑第三方审计或 渗透测试 您的网络和产品。对于高风险产品，CRA 可能会要求进行外部测试/认证，因此现在就开始将严格的安全测试纳入产品开发周期。对于您的工厂系统，OT 网络安全评估可以突出与最佳实践或标准的差距 - 许多解决方案提供商（包括罗克韦尔自动化和其他公司）都提供这方面的服务。

• 安全开发和维护软件： 如果您开发软件（或带有软件的硬件）作为产品或流程的一部分，请采用安全开发生命周期实践。这意味着要将威胁建模、安全编码标准、代码审查和安全测试整合到开发流程中。确保您的工程团队接受过网络安全培训。建立一个 漏洞管理流程 在产品的整个生命周期内，跟踪并处理软件或固件（包括可能使用的开源组件）中的漏洞。例如，维护每个应用程序（SBOM）中第三方库的清单，并订阅它们的漏洞警报，以便在出现新的 CVE 时及时修补或更新组件。这些做法不仅有助于遵守 CRA 以产品为重点的规则，还能降低触发 NIS2 报告的事件风险。 

• 事件响应规划： 制定并定期更新 事件应急计划 包括 IT 和 OT 事故。这应包括检测、分析、控制和恢复网络事件的明确职责和沟通流程。鉴于 NIS2 强调及时报告，应在计划中纳入何时以及如何通知监管机构和可能的客户/供应商的指导原则。进行模拟演习或演练（至少每年一次），以测试团队的准备情况，包括勒索软件攻击导致生产中断或 PLC 网络感染恶意软件等情景。目的是找出应对措施中的薄弱环节（如决策权不明确或检测中的技术盲点），并在实际事件发生前加以改进。 

• 培训和网络意识： 人往往是最薄弱的环节。对员工（不仅是办公室人员，还包括车间的工程师和操作员）进行基本的网络卫生培训，让他们认识到自己在安全方面的作用。这可以包括关于网络钓鱼意识的工具箱讲座、不在工业机器上使用个人 U 盘的政策，以及鼓励报告可疑活动。建立一种安全与保安并行的文化，使遵守网络安全程序（如访问控制、软件更新协议等）成为维持安全高效运行不可或缺的一部分。 

• 管理和领导参与： 确保管理层参与网络安全治理。根据 NIS2，领导层必须承担责任，因此要向高级管理人员和董事会介绍新的法律要求和组织的网络风险状况。如果还没有跨职能网络安全委员会（包括 IT、OT 工程师、生产经理和合规官员），则应成立该委员会，以监督 NIS2 和 CRA 合规工作。高层的支持将有助于确保必要的预算，并在各部门执行相关政策。网络恢复能力应成为企业战略目标的一部分，而不仅仅是一个 IT 问题。

通过实施这些实践，制造商不仅能满足 CRA 和 NIS2 的合规要求，还能真正改善其安全状况。坚实的网络安全基础将使处理监管机构要求的审计、文档和证明变得更加容易，更重要的是，它将降低网络事件发生的可能性和对企业的影响。 

软件供应链安全考虑因素 

现代制造商依赖于复杂的数字供应链--从罗克韦尔自动化等公司提供的工业控制软件，到定制应用程序中的开源库，再到支持工厂运营的云服务。CRA 和 NIS2 都重点关注 供应链安全这意味着制造商必须采取措施，确保他们使用的（或嵌入其产品中的）第三方软件和系统是值得信赖和安全的。 

根据 NIS2供应链安全已被明确列为必要的风险管理措施之一。各组织需要评估其主要供应商和服务提供商的网络安全。在实践中，这可能涉及进行供应商安全问卷调查或审计，要求供应商提供某些认证或标准，并在合同中加入条款，要求供应商维护强大的网络安全并及时报告事故。例如，如果您依赖外部公司为您的设备提供远程支持，您应确保他们遵守严格的身份验证和网络安全控制措施，因为他们的弱点可能成为您的漏洞。 

ǞǞǞ 网络复原力法另一方面，"安全标准 "有助于从产品角度加强供应链安全。它要求制造商对其产品中任何第三方组件的安全性负责（因此要求维护 SBOM 和漏洞管理流程）。如果您是一家集成了其他供应商的工业软件或控制器的机器制造商，您将需要 与这些供应商密切协调.确保您的供应商（如自动化软件供应商）能够向您提供最新的 SBOM，列出其软件中的库和依赖关系 - 这对您的技术文档和跟踪漏洞至关重要。您可能还需要验证供应商是否遵循安全开发标准或已通过相关认证（例如，一些工业控制供应商的安全开发生命周期可能已通过 IEC 62443-4-1 认证）。使用本身符合 CRA 标准的组件可以减轻您的负担。事实上，CRA 市场方法的一个好处是，随着时间的推移，在欧盟购买的产品都应符合基本的网络安全标准，从而降低供应商的不安全产品成为您的问题的风险。 

协调漏洞披露 是另一个重要方面。制造商应建立与供应商和客户共享漏洞信息的渠道。如果在某个组件（如常用的 PLC 固件）中发现了漏洞，供应商和资产所有者应进行沟通，以便迅速应用修补程序。CRA 将通过强制执行漏洞披露计划和及时发布补丁，从制造商方面强制执行这一点。同时，NIS2 强调合作，鼓励企业加入本行业的信息共享小组或 ISAC（信息共享与分析中心）。例如，制造商可以参加行业网络安全交流会，以获得供应链中威胁的早期预警（如受污染的软件更新或受损组件），并分享他们从任何事件中吸取的经验教训。 

在实际操作中，改善供应链安全可能涉及以下行动：保存设施中所有软件和硬件资产的清单（以便在出现新漏洞时知道哪些需要修补）、验证软件的完整性（使用数字签名和哈希值进行软件更新以防止篡改），以及在采购时评估新供应商的安全成熟度。此外，还应考虑涵盖供应链事故的网络风险保险或合同协议，因为这些可以在发生与供应商相关的漏洞时提供资源。 

归根结底，链条的强度取决于最薄弱的环节。 NIS2 和 CRA 对供应链的双重关注意味着制造商必须跳出自己的围墙，与合作伙伴一起全面提升安全性。以高标准要求供应商，成为客户可靠的合作伙伴，就能增强整个制造生态系统的应变能力。 

行业领导者的范例和最佳实践 

领先的工业技术供应商和具有前瞻性思维的制造商已经开始与这些新法规保持一致，并提供了如何合规的范例： 

• 罗克韦尔自动化的方法： 作为工业软件和控制系统的主要供应商，罗克韦尔自动化一直积极应对 NIS2 并为 CRA 做好准备。罗克韦尔建议制造商 利用现有的网络安全框架 (如 NIST CSF、IEC 62443、ISO 27001），以加快 NIS2 合规性。他们建议采用分阶段的方法：审核当前的安全实践，将其与 NIS2 差距进行映射，然后制定计划并部署所需的技术和政策。这种结构化计划有助于确保万无一失。罗克韦尔还强调，从现在开始改进 OT 安全将 "快速遵守未来的法规，如《欧盟网络复原力法案》"换句话说，如果您提高了组织的总体网络安全成熟度（例如，通过分段网络、执行多因素身份验证和在工厂实施持续监控），您不仅可以履行 NIS2 义务，还可以在 CRA 产品要求生效时做好充分准备。 

• 安全增强型产品开发： 一些工业供应商已根据 IEC 62443-4-1（产品安全）等标准采用了安全开发生命周期模型。例如，驱动器制造商或 PLC 供应商可能会将威胁建模和广泛的模糊测试集成到其产品工程中。采购此类产品的制造商会从中受益，因为这些产品更有可能在开箱后即符合 CRA 的要求。在评估供应商时，要寻找这种承诺的迹象--例如，供应商为其产品发布网络安全指南，及时提供固件补丁，或为某些设备获得欧盟网络安全认证。使用信誉良好、具有安全意识的供应商是减轻合规负担的实用方法。 

• 事件响应行动： NIS2 的事件处理规定的重要性可以通过实际案例来说明。当 Norsk Hydro（一家大型铝制造商）在 2019 年遭遇勒索软件攻击时，它不得不改用人工操作来维持生产，而且它选择以透明的方式处理此次事件，赢得了赞誉。这种有备无患的态度--拥有离线替代方案和清晰的沟通--正是监管者希望看到的。最近，一家电池制造商（Varta）在 2024 年遭到网络攻击，迫使多家工厂停产。这些事件凸显了 NIS2 为何要将制造商纳入其中：制造业的中断会连带影响其他关键部门。作为一种最佳做法，企业正在更新业务连续性计划，以专门应对网络情景（例如，储备关键备件以防数字订购出现故障，或为关键生产步骤配备手动故障保险装置）。 

• 整合产品和运营安全： ǞǞǞ CRA 和 NIS2 的交叉点 对于高科技工业产品制造商来说，这一点显而易见。考虑一家生产智能工厂设备的公司--在 CRA 下，每个产品型号都需要安全的设计和文档；在 NIS2 下，公司本身需要强大的安全运营。一些公司正在建立内部 "产品安全小组" 与传统的 IT/OT 安全团队一起处理这些不同但相关的领域。产品安全团队专注于将安全嵌入产品生命周期（履行 CRA 职责，如 SBOM、安全编码、产品事故响应），而 IT/OT 安全团队专注于企业和工厂安全（履行 NIS2 职责，如保护系统和响应运营中的事故）。他们密切协调，特别是因为产品中的漏洞会模糊产品合规性和运营风险之间的界限。这种组织方法可以成为一种最佳实践--它可以确保专门关注以产品为中心的安全合规性，而不会忽视对公司自身基础设施的保护。 

• 合作与外部支持： 许多制造商正求助于外部专家来驾驭这些变化。熟悉工业环境的网络安全顾问可以进行 NIS2 准备情况评估，或帮助实施为 OT 量身定制的安全控制。同样，欧洲的测试实验室和认证机构也在为 CRA 符合性评估做准备。尽早（甚至在法律完全适用之前）与这些服务机构接触，可以让制造商抢占先机。关注行业协会或制造安全工作组也是明智之举--它们通常会发布有关 NIS2/CRA 合规性的指南或举办相关培训，并提供一个分享经验的论坛。通过向同行和专家学习，企业可以避免重复劳动。 

CRA 和 NIS2 如何建立在现有监管格局的基础上 

值得注意的是，CRA 和 NIS2 并不完全是凭空出现的，它们建立在欧盟内外多年来不断演变的安全政策基础之上。了解这一背景有助于制造商理解 为什么 要求的背后： 

• 不断演变的欧盟网络战略： 欧盟一直在稳步加强其网络安全框架。最初的《国家信息安全指令》（2016 年通过）是欧盟范围内第一部关于关键基础设施网络安全的法律，而《国家信息安全指令 2》是一次重大升级，反映了经验教训和不断变化的威胁形势。同时，《2019 年欧盟网络安全法案》授权 ENISA，并为某些产品创建了自愿认证计划。网络安全法 网络复原力法 这与欧盟在隐私权方面所做的 GDPR 相仿--设定了很高的标准和执行制度，迫使世界各地的组织如果想在欧洲开展业务，就必须改进做法。 

• 扩展到新领域： 在 NIS2 之前，许多制造企业可能在法律上并不需要遵守特定的网络规则（除非它们属于化学品或医疗保健设备等行业，这些行业有自己的法规）。现在，NIS2 明确将大部分制造业和工业部门纳入 "重要 "基础设施的范围。这反映了制造业是关键供应链的一部分这一现实--如果一家大型汽车或半导体工厂遭到黑客攻击而停产，就会产生全国甚至全球连锁反应。Shoosmiths 律师事务所指出，核心制造业（如金属和半导体行业）发生的网络事件影响深远，这也进一步说明了为什么监管机构认为制造业的保护至关重要。简而言之，监管环境正在跟上现代工业相互依存的步伐。 

• 关注生命周期和复原力： CRA 和 NIS2 都强调 生命周期安全 和持续改进，而不是一次性合规。CRA 对持续产品支持和漏洞管理的要求旨在解决产品长期不打补丁而变得不安全的问题。NIS2 的持续风险管理和报告职责促使企业随着威胁的演变不断评估和升级其安全性。这种动态方法以 NIST 和 ISO 27001 等框架为基础，这些框架将持续改进（计划-执行-检查-行动）的概念用于安全管理。它还与新兴的全球趋势保持一致，例如，美国政府一直在敦促软件供应商提供 SBOM 并确保上市后的漏洞处理，这与 CRA 的精神不谋而合。 

• 与其他法律和标准的整合： 遵守 CRA 和 NIS2 通常与履行其他法律义务相吻合。例如，GDPR（欧盟数据保护法规）要求对个人数据进行适当的安全保护--NIS2 的措施（如访问控制、加密）将有助于在制造流程中涉及个人数据的情况下实现这一点。如果您生产的是医疗设备或汽车系统，那么现有的针对特定行业的网络安全指南不会被 CRA 取代，而是通过确保这些设备中任何数字组件的基线安全性对其进行补充。制造商应为更加统一的制度做好准备：《网络安全法 CRA 将利用统一的欧洲标准 (通过 CEN/CENELEC 制定）来定义技术细节。这意味着 IEC 62443 系列或 ISO 21434（汽车网络安全）等标准将成为正式的 "最先进 "基准。已经遵循这些标准的公司将发现自己在合规方面处于领先地位。 

• 加强问责制： 新指令还提高了问责标准。值得注意的是，NIS2 包括追究高级管理层违规责任的规定（包括在严重情况下可能暂时禁止担任管理职务）。这与金融监管所采取的方法相呼应，表明网络安全现在是董事会层面的责任。我们可以预期，监管机构不仅会审查技术控制措施，还会审查公司是否有适当的治理措施，例如，它们是否进行董事会层面的网络风险报告？它们是否为安全分配了足够的资源？制造商将需要彻底记录他们所做的努力（事实上，记录是一个主题--CRA 要求提供大量产品安全文件，NIS2 可能会在审核过程中要求提供风险评估、政策、培训等方面的证据）。 

结论：化合规为机遇 

驾驭欧盟的《网络复原力法案》和 NIS2 指令可能会让人感觉具有挑战性，但归根结底，实施合理的网络安全实践将使制造商长期受益。通过确保您制造的产品和运行的系统的安全，您不仅能满足法律要求，还能保护您的业务免受代价高昂的中断、安全事故和声誉损失。 

使用工业软件的制造商现在就应该与其技术提供商和合作伙伴联系，以确保每个人在这些新义务方面都站在同一起跑线上。例如，如果您使用罗克韦尔自动化公司的系统，请与他们联系，讨论他们如何加强产品安全性以满足 CRA 的要求（这样到 2027 年，您的设备就会预先符合要求），以及他们如何通过改进的 OT 安全服务来支持您的 NIS2 合规工作。同样，与所有关键供应商就网络安全进行沟通--合规是一个共同的历程。 

虽然法规条文可能枯燥乏味，但 CRA 和 NIS2 的精髓却是实用： 打造安全的产品、确保运营安全、了解风险并做好应对准备。 将合规项目视为更新旧系统、投资员工技能和实现业务差异化的契机。能够展示强大网络复原力的公司不仅能避免罚款，还能赢得日益关注安全问题的客户和合作伙伴的信任。 

总之，为遵守《反垄断法》和 NIS2，制造商应 将网络安全植入每个阶段 - 从产品设计和供应链选择到日常运营和事故响应。只要方法得当，在满足欧盟这些要求的同时，还能推动制造业的创新和可靠性。现在就行动起来，将网络复原力作为核心业务目标，制造商就能将看似监管负担的问题转化为数字化互联时代的竞争优势。 

合规性不仅仅是打勾，而是在不断变化的工业环境中加强安全性和持续成功的催化剂。 

参考资料 

1. 罗克韦尔自动化 "NIS2 的新功能 (NIS2 指令概述和对基本/重要实体的要求）rockwellautomation.com. 

2. 超级防爆 了解 NIS2 与欧盟网络复原力法案之间的关系 (NIS2 的关键重点领域与 CRA、时间表和合规见解的对比）hyperproof.io. 

3. 工业网络 网络复原力法案》对制造商的要求 (解释 CRA 的范围、网络安全 CE 标识和文件要求）industrialcyber.co. 

4. TXOne 网络公司 网络复原力法案》：制造商指南 (CRA 义务概述：提供 SBOM 技术文档、5 年支持、24 小时内报告事件）。txone.com. 

5. Shoosmiths LLP NIS2：制造商和分销商须知 (关于 NIS2 生产范围、24 小时事件报告和 CRA 产品安全要求的法律观点）shoosmiths.com. 

6. 罗克韦尔自动化博客 利用现有框架实现 NIS2 合规性 (关于使用 ISO 27001/IEC 62443 等框架满足 NIS2 要求的建议，以及与未来 CRA 合规性的联系）rockwellautomation.com. 

7. 欧盟委员会 塑造欧洲的数字未来：网络复原力法 (欧盟公告强调产品的设计安全和生命周期安全）hyperproof.io. 

8. 超级防爆 NIS2 和 CRA 下的供应链安全 (这两项法规都要求加强供应商安全和共享信息，以管理供应链网络风险）hyperproof.io.