IT/AV终端检测认证事业部

一、欧盟CRA法案是什么？为何必须重视？

欧盟《网络弹性法案》（Cyber Resilience Act，简称CRA，法规编号(EU) 2024/2847） 已于2024年12月10日正式生效。这是全球首个覆盖硬件与软件全生命周期的强制性产品网络安全法规，对所有进入欧盟市场的“含数字元素的产品”（Products with Digital Elements，简称PDE）施加了前所未有的网络安全合规要求。

CRA的核心目标是通过统一的网络安全标准，减少软硬件产品中的普遍性漏洞，强化产品全生命周期网络弹性，规范市场准入秩序，同时保护欧盟用户数据安全与网络空间安全。

关键影响：网络安全合规不再是欧盟市场准入的“可选项”，而是产品进入欧盟市场的“前置条件”。不合规产品将面临最高1500万欧元或全球营业额2.5% 的罚款，以及产品下架、召回等处罚措施。

二、CRA法案关键时间节点

CRA法案采用分阶段实施的节奏，企业须重点关注以下里程碑：

特别提示：无论产品何时投放市场，2026年9月11日起，所有在欧盟市场流通的含数字元素产品均须履行漏洞上报义务。这意味着即使产品在2027年12月前已上市，仍需建立漏洞管理机制。

三、哪些产品适用CRA？

CRA的适用范围极其广泛，打破了传统行业边界。根据法规规定，适用对象为所有具备互联网协议（IP）数据收发功能的“含数字元素产品”（PDE）。

适用产品范围包括：

硬件产品：智能手机、智能家居设备（摄像头、门锁、照明）、可穿戴设备、路由器/网关、工业物联网终端、PLC、SCADA系统、能源监控设备、网络设备等

软件产品：操作系统、移动应用、游戏、固件、嵌入式软件、远程数据处理解决方案

组件类产品：芯片、模组、开源组件、第三方SDK（单独上市时需合规）

关键判定条件：产品必须具备“连接性”——即产品的预期用途或合理可预见的用途涉及与设备或网络进行直接或间接的数据连接（有线或无线）

软件应用程序通过互联网、网络连接或与其他设备交换数据（如同步/备份数据至云端或接收更新），均在适用范围内

不适用场景：

已受其他特定欧盟法规监管的产品（如医疗器械、部分机动车、民航产品）

非商业性开源软件的开发与供给（个人或非营利组织无变现的开源软件）

符合特定规格的替换备件

对GTG客户的核心影响：模块/模组、笔记本电脑、平板电脑、服务器等产品均在CRA适用范围内，须按法规要求完成合规评估。

四、产品风险分级：默认类/重要类/关键类

CRA根据产品网络安全风险高低，将产品划分为四个等级，直接影响合规成本与评估方式：

重要提示：产品分类取决于产品整体主要功能，而非单个嵌入组件的孤立判断。对于同时涉及多类功能的产品（如内置无线模组的服务器），GTG可协助进行精准分类判定。

五、制造商四大核心合规义务

CRA明确了制造商、进口商、分销商、欧代等主体的义务，其中制造商作为第一责任人，须履行以下四大核心义务：

5.1 安全设计原则（Security by Design by Default）

将网络安全融入产品设计、开发、生产全流程

采用默认安全配置：禁止默认弱密码（如admin/123456）、关闭非必要端口

落实最小权限原则

禁止投放含已知可利用漏洞的产品

5.2 全生命周期漏洞管理

建立并执行协调漏洞披露政策（CVD），提供单一联系点接收漏洞报告

确定并披露支持周期：至少5年（产品预期使用期不足5年则按实际使用期计算）

安全更新发布后须至少保留10年或支持期剩余时间（以较长者为准）

2026年9月11日起，制造商须向CSIRT及ENISA同步报告：

已利用漏洞：24小时内提交早期预警，72小时内提交详细通报，纠正措施可用后14天内提交最终报告

严重事件：24小时内提交早期预警，72小时内提交事件通报，1个月内提交最终报告

及时通知受影响用户并提供风险缓解措施

5.3 SBOM与供应链安全

以机器可读格式编制并维护软件物料清单（SBOM）

对第三方组件（含开源软件）进行尽职调查：

检查组件制造商的合规性（确认CE标记）

核实定期安全更新

确认不存在欧洲漏洞数据库或其他公开漏洞数据库中的已登记漏洞

跟踪组件已知漏洞并及时更新

5.4 技术文档与符合性声明

编制完整的技术文档（含产品架构、安全设计、漏洞管理流程、SBOM、风险分析报告等）

技术文档保存10年

起草欧盟符合性声明（DoC），加贴CE标志

确保产品可追溯

5.5 违规处罚力度

除罚款外，欧盟市场监督机构可对不合规产品采取下架、召回、禁止上市等措施。

六、CRA与RED、GDPR、AI Act的协同关系

CRA并非孤立存在，而是与欧盟其他法规形成协同监管网络：

七、CRA合规实施路线图：GTG一站式服务

上海广测为客户提供CRA法案全流程合规服务：

第一步：产品判定与分类

对照CRA附件III，确认产品是否属于“含数字元素产品”

判定风险等级（默认类/重要类/关键类）

GTG出具产品分类建议及合规路径规划

第二步：技术文档与SBOM编制

协助编制符合CRA要求的完整技术文档

生成机器可读格式SBOM

准备风险评估报告、漏洞管理流程描述

第三步：符合性评估

默认类产品：协助完成内部生产控制自评估

重要类/关键类产品：协调欧盟公告机构进行第三方符合性评估

第四步：DoC与CE标志

起草欧盟符合性声明（DoC）

指导CE标志加贴

第五步：漏洞管理体系搭建

建立协调漏洞披露（CVD）政策

搭建PSIRT/CSIRT能力

确保2026年9月11日前满足24小时通报时限

八、为什么选择GTG广测集团做CRA合规？

九、常见问题（FAQ）

Q1：我们的产品已有CE认证，还需要满足CRA要求吗？
A：需要。CRA是全新的独立法规，在其适用范围内的含数字元素产品须满足CRA特定的网络安全要求，并更新CE标志的合规基础。原有CE认证（如LVD、EMC）不覆盖网络安全维度。

Q2：产品已在欧盟市场销售多年，2026年9月后还需要履行漏洞上报义务吗？
A：需要。CRA的漏洞上报义务（Article 14）自2026年9月11日起适用，适用于所有在欧盟市场流通的含数字元素产品，无论其何时投放市场。制造商须建立漏洞监控和通报机制。

Q3：CRA与RED Cyber的区别是什么？
A：RED Cyber仅针对无线电设备的网络安全，而CRA覆盖所有含数字元素的产品（含无线和非无线设备），适用范围显著扩大。已符合EN 18031的产品仍须补充CRA的运营实施、生命周期治理及供应链成熟度要求。

Q4：CRA合规周期需要多久？
A：取决于产品分类和当前合规成熟度。默认类产品自评估周期约4-8周；重要类/关键类需第三方评估，周期约10-16周。GTG建议立即启动差距分析，尤其是SBOM编制和漏洞管理体系搭建。

Q5：开源软件是否适用CRA？
A：非商业性开源软件的开发与供给（个人或非营利组织无变现）不适用CRA。但开源软件管理者（持续支持商业用途开源产品开发的主体）需履行轻量监管义务。

十、立即获取CRA合规方案

GTG广测集团 · 上海广测检测科技有限公司
专注于模块/模组、笔记本电脑、平板电脑、服务器的欧盟市场准入合规服务
核心能力：CRA法案合规 | CE认证 | RED网络安全 | CB | EAC/FAC | SIRIM等

�� 官网链接：www.gtgtesting.com
�� 全国服务热线：13925582920
✉️ 技术咨询邮箱：net03@gtggroup.com

【限时福利】 通过官网预约CRA合规咨询的客户，可免费获取：

•《CRA弹性法案图文工具书》
•免费CRA合规诊断咨询