社区

这个紧箍咒就是正在制定、史无前例严格的《网络弹性法》，周掌柜咨询政策研究部门正在密切关注这个法案的情况，也希望引起中国全球化公司战略性关注。

根据欧盟委员会9月15日发布的《网络安全弹性法草案》（Cyber Resilience Act, CRA），欧盟要对含有任何数字软硬件的产品执行更加严格的监管，以确保欧盟社会的网络安全。

根据欧委会目前的法案提案，有两项具体的要求：

一方面，要求所有制造厂商提**品内部全部的硬件组件以及软件清单。换言之，厂商必须有能力持续监控其供应链并跟踪安全漏洞；

另一方面，欧委会还设立了包含38项《关键技术以及产品清单》（密码管理器、防火墙软件、微控制器、工业物联网设备以及智能电表等硬件），这些软硬件的网络安全评估必须从独立的第三方获取，而不能自行认证。

此外，欧委会还要设置一个“高度重要”产品清单，对于含有此清单上软硬件的厂商，必须从欧委会所设置的网络安全机构处获得产品安全评估才可以最终上市。

对于该法案背后有两点值得我们关注：

首先，该法案针对的范围极其广泛，基本上是大到家用电器，小到联网可穿戴设备全部包含在内。惩罚力度也非常大，如果被发现不遵守相关条例，要面临高达1500万欧元或者2.5%的总收入的天价罚单。一旦在欧洲议会和欧盟理事会通过，这将成为史无前例的网络安全监管制度；

其次，从本质上而言，该法案是通过针对终端产品立法去规范整个数字设备产业链的举动。欧盟所希冀的是希望可以直接影响到从产品设计、开发、采购、加工、生产以及后期维护的整个生命周期。这本身已经超越了国家数字安全的范围，可以说是欧盟依托自己的大市场进行的网络安全区域性规范化的尝试，再进一步说也是为在未来推广这种规范化到全球做准备。如同欧委会副主席玛格丽蒂斯·希纳斯所言，“欧盟正在提出‘全球标准’方面表现出相应的领导力”；

对于想要在欧盟经营的全球厂商而言，挑战是巨大的：

最直接的来看，安全评估（无论是内部还是外部交给第三方机构）和新程序会给公司带来巨大的成本。由于欧盟要求所有的数字组件都必须带有标签说明它们符合新规定并且要求公司标明可以提供多久的网络支持，这就要求产品在上市前必须经过漫长的审查期。一旦产品内含有关键以及高度关键技术，这个审查期将会变得更长，从而导致企业失去市场机会。

再者，由于目前的《关键技术清单》所包含的技术已经非常广泛的被应用在绝大多数的电子设备中，这也就意味着每个厂商必须对其产品进行相应的安全调整，由于要求在上市五年或者整个产品周期内提供相应的安全漏洞排查和漏洞升级，等于变相增加了产品的后期维护成本。欧盟的这一举措，可以说是用欧盟最擅长的法律框架去重新构建自身的全球影响力的典型。

对此，周掌柜咨询政策咨询团队给中国全球化公司粗略提供三点建议：

一、尽快深入了解法案可能牵扯的技术范围以及自身可能要进行的合规应对，这可能设计到政策研究、法务咨询等多个方面；

二、加强和欧盟立法机构的沟通。目前法律仍然在制定过程中，良好且通畅的沟通可以帮助企业争取更多的适应时间和空间，这个背后做一定到游说是极其必要的；

三、有必要对于应对欧洲和美国步步紧逼的各类限制性法案，用更加全球化的方式落地系统性应对办法，特别是重构全球化支点并深入第三国本地化的间接进入欧美布局。

从欧盟的核心战略逻辑上讲，希望通过构建政策规则、产业标准弥补产业衰退带来的竞争力下降，这背后有其合理性，也有参与协调和游说的空间，但确实深度考验中国全球化公司的本地化能力。

由于这个法案的特殊性，对此的重视应该马上落地行动了！