《网络弹性法案(CRA)》关联的无障碍要求
《网络弹性法案(CRA)》简介
欧盟《网络弹性法案》(Cyber Resilience Act,简称CRA),法规编号:(EU) 2024/2847。
2024年12月10日正式生效,2026年9月11日先行实施漏洞通报义务,2027年12月11日全面强制执行。
违规包括但不限于:产品强制下架/召回,全球年营业额2.5%或1500万欧元罚款。
监管对象是所有投放欧盟市场的“带数字元素产品(PDE)”,与企业总部所在地无关——只要产品在欧盟境内销售/提供,就需要承担合规义务。
《网络弹性法案(CRA)》与无障碍/《欧盟无障碍法(EAA)》的关系、关联
CRA本身没要求无障碍。
但CRA核心要求之一是安全信息披露义务(面向终端消费者/公众),再叠加“带数字元素产品(PDE)”、“通过网页(或App内置页面)披露”这些因素,导致披露本身需要考虑无障碍、合规EAA。
——于是,便形成了“CRA要求无障碍”的通俗说法,这是两个欧盟法规的“绑定体感”。
注:法规原文并未指定披露形式,但实操中,公开的网页(或App内页面),是欧盟监管普遍认可的标准形式。
Q:假设披露安全信息的网站/App本身不在EAA要求范围,那么:仅仅是披露安全信息的那一个页面合规EAA即可,还是会导致整个网站都需合规EAA?
假设这个前提成立(该网站/App不在EAA要求范围),那么:仅那一个“CRA安全信息披露页面”需满足无障碍要求,不会因此强制整个网站/App全都合规EAA。
注:仅为依据法律的逻辑判断,暂无欧盟官方指南或判例。
当然,实操中,技术上很难完全隔离,例如:信息披露的页面,需通过上级页面进入,若上级页面没做无障碍,用户根本无法抵达信息披露页面获取信息——此时依为无法真正面向用户实现信息披露,违反EAA的无障碍合规要求。
Q:PDF格式的安全说明书,是否需要考虑无障碍?
需要。
合规建议:如何满足CRA导致的无障碍/EAA合规要求
几个步骤:
1、安全信息披露的页面本身,做无障碍整改,符合相关标准(如《WCAG》《EN301549》);
2、上述信息披露页面所在载体(如网站/App),从初始首页、直到进入该信息披露页面的必须流程,全过程相关页面,做无障碍整改;
3、准备好相关强制备查文件(如《无障碍声明》),最好也上线到前述载体。
有无障碍相关咨询、培训、技术支持或合规需求的企业,欢迎联系我们(梁先生,电话/微信:15012661056,官网: www.aar.org.cn)。
参考文献:
1. EUR-Lex - CRA官方全文: https://eur-lex.europa.eu/eli/reg/2024/2847/oj
2. EUR-Lex - EAA官方全文: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32019L0882
3. W3C - WCAG 2.1: https://www.w3.org/TR/WCAG21/
4. ETSI - EN 301 549 v3.2.1: https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf
5. 欧盟委员会CRA政策页面: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
6. ENISA CRA页面: https://www.enisa.europa.eu/topics/cyber-resilience-act