AMD 與歐盟網路韌性法案 (CRA)

透過 AMD 準備好遵循歐盟網路韌性法

在這個數位化程度日漸提高的世界中，在為產品制定網路安全規定方面，歐盟的網路韌性法（歐盟 CRA）象徵著重要的進展。身為高效能運算的領導者，AMD 積極參與標準化程序，在促進創新的同時，協助制定強化網路安全的規定。 

AMD 全力遵循歐盟網路韌性法案 (CRA) 的所有適用規定，並確保在歐盟營運的客戶部署符合 CRA 的 AMD 技術。我們對於投資安全產品設計、漏洞管理及法規遵循程序持續不懈的投資，使我們能對來日完整施行的 CRA 規定做足充分準備。

什麼是歐盟 CRA？

CRA 的立法意旨，在於針對具數位元件的產品，為製造商及零售商引進強制性網路安全規定，以保護消費者及企業。此保護規範擴及產品生命週期的各個階段，並適用於連線的裝置，而現有法規已有規範的產品則適用特定例外規定。

CRA 直接適用於擁有安全性相關功能的微處理器和現場可程式化閘陣列 (Field Programmable Gate Array, FPGA)，以及伺服器、筆記型電腦、嵌入式及消費者裝置等終端產品。

您的法規遵循途徑

在歐盟地區營運的任何企業都必須遵循 CRA 的規定，因為它能確保合法准入歐盟市場，並在產品生命週期中，展現對網路安全的堅定承諾，進而建立客戶信任。由於 CRA 是以風險為基礎，第一步是對您的產品進行風險評估。藉由風險評估，您可以掌握產品可能面臨哪些威脅，而威脅則會進一步指向為達成法規遵循必須滿足的網路安全規定。 

您的法規遵循途徑取決於風險評估的結果。AMD 產品安全性程序、文件及披露實務的設計，可輔助您的 CRA 風險評估。

AMD 在 CRA 的規範下促進創新的方法，包含三大要素：

法規遵循

AMD 產品在 CRA 規定下的法規遵循情況

CRA 是根據與網路安全相關的功能性或功能，及產品帶來的網路安全風險程度，來分類產品。此分類決定製造商為達成法規遵循，所必須採取的步驟。根據目前的 CRA 架構，AMD 產品預期分為下列類別：

• 預設：大部分的 AMD 標準開發工具
• Class I（重要）： 
  • 具有安全性功能的處理器和 FPGA
  • 某些嵌入式解決方案和安全性關鍵軟體元件

CRA 中的某些應用標準仍待標準機構定案中。AMD 積極參與這些規範的制定，並會在最終標準發佈後立即更新指引。AMD 將根據這些分類，遵循所有必要的 CRA 規則及規定，提供您符合規定的產品，作為您打造產品的基礎。

功能

AMD 產品最高水準的安全性功能

整個產品生命週期都必須考慮安全性，才能徹底保護系統。舉例來說，開發出應用程式層級的容錯安全性解決方案，卻部署在無法安全啟動的裝置上，就宛如是在沙地上搭建豪宅一樣。AMD 與我們的客戶在設計重視安全性的系統時，各自扮演不同的角色。另須注意的是，任何系統都不可能完全不受到攻擊，只要攻擊者有充分的時間、精力、資源和資金，任何系統都可能遭到入侵。安全性的重點是放在管理風險，以及客戶願意投入多少資金管理該風險。

AMD 採用領先全球的最佳實務，打造其晶片、軟體和開發工具的可信度。設計用來抵禦大量攻擊手法的對策，已整合至晶片。我們產品的安全啟動或配置，內建確保防偽性、機密性和完整性的硬體根信任。

考量到將來的法規遵循需求，CRA 中所訂定的特定設計規定，也會納入 AMD 的設計方法。如需特定 AMD 安全性技術的詳細資訊，請聯絡您當地的 AMD 銷售代表。

通訊

說明文件

為了在整個產品生命週期中獲得最大的安全性，CRA 要求多個關鍵層面的文件，包括風險評估、歐盟符合性聲明、軟體物料清單 (SBOM) 及支援期間的資訊等（可用來界定廠商計畫維持 CRA 法規遵循的最短時長）。AMD 目前正在審查我們現有且完善的程序，以確保其符合 CRA 的文件規定。

漏洞報告

身為 CVE 編號管理機構 (CNA) 的成員，AMD 在遵循協調的漏洞披露實務，並設法迅速且適當地回應報告的問題方面，已有長足經驗。AMD 將利用這項經實證的專業知識，來遵循 CRA 的具體漏洞管理規定。如需更多資訊，請造訪 AMD 產品安全性。

AMD 承諾

如果您之前都未在產品需求中考量過網路安全，這項新法規可能會帶來不熟悉的挑戰。AMD 擁有逾 50 年的關鍵應用程式服務經驗，能夠運用專業知識提供符合 CRA 規定的技術，協助您順利駕馭這些改變。

資源