欧洲网络韧性法案(Cyber Resilience Act, CRA)确实被认为是较为严苛的网络安全法规之一,它主要针对数字产品(如物联网设备、软件等)的网络安全要求,旨在确保产品在生命周期内具备基本的安全功能,并强制制造商承担更多责任,具体严苛性体现在:

- 广泛适用范围:覆盖硬件、软件及远程数据处理服务,包括消费级和企业级产品。
- 强制性安全要求:要求产品默认安全配置、漏洞报告机制、及时修复漏洞等。
- 严格合规义务:制造商需进行安全评估、提供安全更新,并通知用户和监管机构。
- 高额罚款:违反规定可能面临最高1500万欧元或全球年营业额2.5%的罚款(取较高者)。
- 市场准入限制:不达标产品可能被禁止进入欧盟市场。
对于涉及欧盟市场的企业而言,CRA的合规成本和时间压力较高,尤其是中小企业可能面临挑战,但法案也旨在提升整体网络安全水平,长期看可能推动行业标准化,建议相关企业尽早评估自身产品并制定合规计划。