欧盟CRA 法规(EU) 2024/2847,全称《网络韧性法案》(Cyber Resilience Act),是针对所有带数字元素产品的网络安全法规,将于2027 年 12 月 11 日全面强制实施,采用分阶段落地模式,
核心是设计安全 + 默认安全 + 全生命周期管理,要求制造商建立完善的漏洞管理与安全更新体系,通过 CE 标志证明合规性。
一、时间轴
二、覆盖范围
CRA适用于在欧盟市场销售的所有包含数字元素的产品(软件/固件/云服务),只要能直接或间接连网处理数据,都在覆盖范围,具体如下:
· 核心覆盖:智能手机、电脑、路由器、智能家居、工业控制设备等
· 特殊覆盖:组件级产品(如芯片、操作系统)、软件运营服务(SaaS)、固件与嵌入式系统等
· 豁免部分:医疗器械(MDR监管)、航空设备(EASA监管)等受专项法规监管的产品
三、产品分类与监管要求
CRA 根据安全风险等级将产品分为三类,实施不同合规要求
|
产品类别 |
风险类别 |
合规评估路径 |
|
基础产品 |
低风险,有限数据处理,无关键基础设施影响 |
制造商自我声明 + 技术文件存档 |
|
重要产品 |
中高风险,分为 I/II 级 |
I 级:自我声明 + 协调标准 |
|
关键产品 |
极高风险,涉及关键基础设施、国家安全或大规模数据泄露风险 |
公告机构全面评估 + 欧盟委员会批准 + 持续监督 |
四、CRA与EN 18031、EN 303 645的关系
|
法规/标准 |
定位 |
CRA框架下的角色 |
关系 |
|
CRA |
欧盟强制法规,覆盖所有数字产品 |
核心法律依据,所有数字产品必须符合 |
2027年全面替代RED中的网络安全条款(EU) 2022/30 |
|
EN 18031 |
RED指令 协调标准,适用于联网无线电设备 |
无线产品基线标准,符合要求可获得合规推定 |
2025年8月1日已强制实施,2027年12月11日将被CRA接管,具体需看届时落地的实施方法,如正在进行中的草案prEN 40000系列等 |
|
EN 303 645 |
非协调标准,消费类IoT 设备参考 |
参考标准,无合规推定 |
可作为基础产品自我声明依据 |
五、厂商CRA 合规指南(全生命周期)
1. 设计与开发阶段
· 安全设计原则:实施最小权限、默认安全配置、加强防御及隐私设计;
· 风险评估:开展网络安全风险评估,并纳入技术文件;
· 供应链安全:建立供应商安全管理体系,确保组件符合 CRA 要求,提供SBOM(软件物料清单);
2. 上市前合规要求
· CE 标志:获取加贴CE标志是CRA的必要条件(2027 年 12 月起);
· 技术文件:包含风险评估报告、安全测试记录、SBOM、用户手册、合规声明;
· 协调标准:采用欧盟认可的协调标准获得合规推定·;
3. 上市后持续合规义务
|
义务类型 |
具体要求 |
实施时间 |
|
安全更新 |
提供免费安全更新,期限为: |
2027/12/11 |
|
漏洞管理 |
建立ISO/IEC 29147,ISO/IEC 30111合规体系: |
2026/9/11 |
|
网络弹性 |
攻击后快速恢复能力、流量控制、访问控制、数据备份机制 |
2027/12/11 |
|
用户告知 |
清晰披露安全功能、更新周期、漏洞响应流程、隐私保护措施 |
2027/12/11 |
