概要說明

1.工業網絡安全的新時代

工業係統比以往任何時候都更加互聯。這種互聯帶來了效率，但也讓運營技術（OT）端暴露在曾經僅限於 IT 網絡環境的網絡安全威脅之下。為此
，監管機構已作出明確轉變：

從自願性指南 → 強製性要求

從附加式安全 → 全生命周期安全

從保護單個組件 → 保護整個係統

對於工業企業而言，這意味著網絡安全不再是可選項，而是核心運營要求。

北爾電子致力於積極將我們的產品組合、開發流程和文檔與 CRA、NIS2、IEC 62443 以及海事網絡安全要求保持一致。我們的產品組合將強化“安全設計”實踐，提升產品韌性，並為構建現代工業係統的客戶提供長期合規保障。

2. 監管法規概覽

Cyber Resilience Act (CRA) 網絡韌性法案

是什麼：歐盟法規，要求所有“帶有數字元素的產品”具備網絡安全能力。

適用對象：CRA 廣泛適用於在歐盟市場提供數字產品的組織，包括製造商、進口商和分銷商。

生效時間：2027 年 12 月 11 日之後投放市場的新產品或經過重大修改的產品必須完全強製遵守。

核心義務:

安全設計（Security-by-design）

全生命周期漏洞管理

24 小時事件報告

清晰的文檔和安全說明

在產品預期壽命內提供安全更新

為什麼重要

CRA 的重要性在於，它要求製造商重新思考產品設計方式並規範安全實踐。係統集成商必須驗證所選組件是否符合 CRA 義務
，最終用戶則能獲得更強的防護

、更清晰的說明以及整個產品生命周期更高的透明度。

NIS2 指令

是什麼：針對運營關鍵部門或提供關鍵服務的組織的歐盟法規。

適用對象：能源、製造、交通、供水、醫療保健等多個領域。

重點：風險管理、事件響應、供應鏈安全、業務連續性等。

技術對標：IEC 62443 被廣泛認可為幫助組織滿足 NIS2 要求的技術框架。

為什麼重要

NIS2 為wei所suo有you參can與yu重zhong要yao和he關guan鍵jian服fu務wu的de主zhu體ti提ti高gao了le標biao準zhun。運yun營ying商shang必bi須xu證zheng明ming他ta們men以yi結jie構gou化hua和he係xi統tong化hua的de方fang式shi管guan理li網wang絡luo風feng險xian
，而er供gong應ying商shang則ze需xu展zhan示shi其qi開kai發fa流liu程cheng是shi安an全quan且qie透tou明ming的de。由you此ci
，整zheng個ge供gong應ying鏈lian的de責ze任ren感gan大da幅fu提ti升sheng。

海事要求：IACS UR E26/E27 及 DNV 規範

自 2024 年 7 月 1 日起簽訂合同的新造船舶
，網絡安全已成為強製要求：

E26 → 船舶網絡韌性

E27 → 船載係統和設備的網絡韌性

兩者均基於 IEC 62443 原則

為什麼重要

這zhe些xie要yao求qiu意yi味wei著zhe供gong應ying商shang必bi須xu達da到dao明ming確que的de網wang絡luo安an全quan標biao準zhun才cai能neng進jin入ru海hai事shi市shi場chang。船chuan廠chang和he集ji成cheng商shang需xu選xuan擇ze具ju備bei相xiang應ying認ren證zheng的de組zu件jian，船chuan東dong則ze能neng獲huo得de更geng明ming確que的de保bao障zhang，確que信xin所suo依yi賴lai的de係xi統tong能neng夠gou抵di禦yu現xian代dai網wang絡luo威wei脅xie。

IEC 62443 - 技術基石

IEC 62443是工業自動化領域采用最廣泛的網絡安全標準。它為組織
、係統和組件的安全提供了結構化的方法。

IEC 62443的四個部分

1.通用概念

2.組織要求

3.係統級要求

4.組件級要求

組件級標準

IEC 62443-4-1：安全開發生命周期（SDL）

IEC 62443-4-2：組件的技術安全要求（HMI、PLC
、軟件等）

安全等級(SL1–SL4)

SL1：防範意外誤用

SL2：防範簡單故意攻擊

SL3：防範複雜攻擊者

SL4：防範資源雄厚的對手

SL2 正逐漸成為各行業新的基準要求。

SL2 比 SL1 增加的內容：

更強的身份識別與認證

會話超時和非活動處理

通信源驗證

更強的軟件完整性和更新控製

為什麼重要

向 SL2 的轉變意義重大，它推動製造商打造具備更強認證
、完wan整zheng性xing控kong製zhi和he受shou保bao護hu接jie口kou的de安an全quan產chan品pin。機ji器qi製zhi造zao商shang必bi須xu設she計ji符fu合he所suo需xu安an全quan等deng級ji的de係xi統tong
，最zui終zhong用yong戶hu則ze能neng獲huo得de更geng清qing晰xi的de預yu期qi和he針zhen對dui故gu意yi攻gong擊ji的de更geng合he適shi防fang護hu。

3. CRA時間線要點

2024 年 12 月 10 日：CRA 正式生效

2026 年 6 月 11 日：合格評定機構可開始申請

2026 年 9 月 11 日：強製漏洞與事件報告啟動

2027 年 12 月 11 日：CRA 全麵適用

，CE 標記需符合要求

已上市產品僅在經過重大修改時才受影響。

CRA 對製造商和客戶的意義

對製造商

實施安全開發流程

建立漏洞報告程序

提供長期安全更新

交付清晰的文檔和說明

對客戶

更高的透明度

更強的防護

可預測的安全支持

4. 北爾電子網絡安全產品藍圖

北爾電子致力於在產品中超越或嚴格遵循 CRA 及其他具有法律約束力的要求。通過與 CRA

、NIS2、機械法規及 IEC 62443 對標，北爾電子確保客戶能夠使用持續強化、麵向未來的產品組合
，構建合規且具備韌性的係統。

我們的路線圖涵蓋安全架構升級、新安全功能規劃、文檔優化以及認證規劃。

5. 結論：值得信賴的網絡安全

工業網絡安全正從可選轉變為強製，期望值也在快速提升。CRA
、NIS2 以及 IACS UR E26/E27 等法規要求更強的防護、更清晰的責任分工以及“安全設計”產品。

北爾電子致力於：

滿足所有適用的網絡安全法規

交付安全設計的產品

支持客戶完成合規之旅

維護麵向未來的產品組合

網絡安全如今已成為安全、可靠和韌性工業運營的必備要素。我們將助力您自信地應對這一全新格局。