认证服务

CERTIFIED

欧盟已于2024年10月10日通过了《网络弹性法案》（Cyber Resilience Act，简称CRA），以加强联网设备的网络安全，对进入欧盟的数字产品（软/硬件）提出强制网络安全要求，覆盖设计、开发、生产到维护的全生命周期。

一、什么是CRA？

CRA的全称是《网络弹性法案》（Cyber Resilience Act，即法规 (EU) 2024/2847）。这是一部由欧盟推出的、针对数字产品的强制性网络安全法规。它的核心目的是确保带有数字元素的产品在设计、开发、生产和整个生命周期内都是安全的，从而将安全责任从消费者转移到制造商身上。如果违规，企业最高可能面临1500万欧元或全球年营业额2.5%的巨额罚款（以较高者为准）。

二、实施计划关键节点

2024年12月10日 法规生效： CRA已在欧盟官方公报发布，并于此时正式生效，开启过渡期。

2026年9月11日 先行义务：被积极利用漏洞或重大事故须在24小时内经欧盟网络安全局（ENISA）的单一报告平台（SRP）同时通知协调相关国家CSIRT与ENISA，企业需建立漏洞处理与事件响应流程。

2027年12月11日 全面强制执行：所有带有数字元素的新产品，必须完全满足CRA的要求并贴上CE标志，才能在欧盟销售。

三、CRA适用范围

CRA适用于具有数字元素，并且直接或者间接连接到网络或者其他设备的产品。包括但不限于：

• 软件产品（操作系统、APP、库、后台服务等）

• 含软件/固件的硬件产品（设备）

• 可联网设备

• 智能设备 / 网络设备 / 嵌入式设备

• MCU / CPU / SoC / ECU / Tbox 等

四、豁免范围：哪些产品不归CRA管？

CRA并非覆盖所有带电设备。以下三类领域明确豁免：

1. 纯SaaS产品

仅在云端运行、无需用户下载安装客户端或代理组件的软件服务，不归CRA管辖。但此类产品需纳入**NIS2指令**管理范围。

2. 已有专属法规的行业

医疗器械、汽车及车载组件、航空设备、航海设备、国防与国家安全产品等领域，已有严格的专门法规，豁免于CRA。

3. 非商业性质的开源软件

社区免费开源的代码，不涉及商业变现，不受CRA管辖。但企业将开源代码集成至商业产品中销售时，需为该部分代码承担合规责任。

五、CRA核心要求

• 安全设计：产品需满足“默认安全”原则，出厂配置应为最安全状态，如禁用默认密码、关闭非必要端口等；实施访问控制、数据加密等技术措施，确保数据的保密性、完整性和可用性。

• 漏洞处理：制造商需建立漏洞监测、报告和修复机制，对产品全生命周期内的漏洞进行及时处理。发现被积极利用的漏洞或重大安全事件，需在24小时内向欧盟网络安全局（ENISA）和相关国家计算机安全事件响应小组（CSIRT）报告，并在规定时间内提交详细报告。

• 技术文档与合规声明：制造商需编制技术文档，记录产品的网络安全设计、风险评估、漏洞处理等信息，并签署欧盟符合性声明，确保产品符合法规要求。

• 产品分类与认证：根据产品风险等级分为默认类别、重要产品（I类和II类）和关键产品，不同类别产品的合规评估程序不同，关键产品需通过欧洲网络安全认证（EUCS）。

AGC提醒：

CRA的实施标志着欧盟市场准入门槛的重大升级。2026年9月的漏洞上报义务是第一道关卡，未能合规的企业将面临巨额罚款。建议企业立即开始行动，着手构建符合欧盟要求的网络安全合规体系。