联系方式
全国免费服务热线
13925582920
固话:0769-85075888-6617
手机:13925582920
传真:0769-85075898
邮箱:net02@gtggroup.com
地址:上海市闵行区颛兴路1588号3幢
CRA网络弹性法案全解读:2027年12月起数字产品出口欧盟必看 — 上海广测检测
如果说EN 18031是无线设备出口欧盟的“前哨战”,那么CRA(Cyber Resilience Act,网络弹性法案)就是覆盖所有数字产品的“总决战”。2027年12月11日起,任何带有数字元素的产品——不管你有线还是无线、硬件还是软件、消费级还是工业级——只要想在欧盟市场销售,就必须满足CRA的网络安全要求。对长三角地区数以万计的电子制造和软件开发企业来说,现在就是布局CRA合规的最佳窗口。
CRA一句话总结:2027年12月11日起,所有带数字元件的产品必须做到“安全设计、漏洞可控、持续更新、事件必报”,否则禁止在欧盟市场销售。这是欧盟有史以来覆盖面最广的网络安全法规。
⚠ CRA的适用对象远超EN 18031:不仅是无线设备,有线设备、独立软件、甚至SaaS云服务都在管辖范围内。
一、CRA是什么?
CRA(Cyber Resilience Act),中文称《网络弹性法案》,法规编号 Regulation (EU) 2024/2847,由欧盟委员会提出,2024年10月通过、12月10日正式生效。这是欧盟继GDPR(数据隐私)、NIS 2指令(关键基础设施网络安全)之后,在网络安全领域的第三大支柱性法规——它把监管触角从“关键基础设施”延伸到了“每一件联网消费产品”。
CRA的核心逻辑是:产品在走向市场之前就必须是安全的,而且要在整个生命周期中保持安全。它要求制造商在设计阶段就嵌入网络安全机制(Security by Design),建立持续的漏洞管理和安全更新能力,并在发现安全事件时第一时间向欧盟网络安全局(ENISA)报告。
二、CRA实施时间线:三步走的合规倒计时
|
时间节点 |
状态 |
具体内容 |
|
2024.12.10 |
法案生效 |
在欧盟官方公报发布,正式成为欧盟法律。各成员国开始建立市场监管和执法体系。 |
|
2026.09.11 |
报告义务启动 |
制造商须对已遭利用的漏洞和安全事件在24小时内向ENISA报告,不得无故拖延。 |
|
2027.12.11 |
全面强制执行 |
CRA全部条款生效。所有在欧盟市场销售的数字产品必须满足CRA合规要求方可加贴CE标志上市。 |
三、CRA适用产品范围:有多广?
CRA的适用范围可以用一句话概括:“只要产品里跑了代码、能处理数据,就可能在CRA的管辖范围内。”
|
硬件产品(带数字元素) |
软件产品 |
|
智能手机、平板电脑、笔记本电脑 |
操作系统(含嵌入式) |
豁免产品
以下产品不在CRA管辖范围内(由同等效力的专门法规管辖):医疗器械(MDR/IVDR)、汽车及车载系统(UN R155/R156)、航空产品(EASA)、军事/国家安全用途产品。NIS 2关键实体的SaaS服务若已满足NIS 2网络安全管理义务,不重复适用。
四、CRA产品分类与合规路径
|
产品类别 |
评级依据 |
典型产品 |
合格评定方式 |
|
默认产品 |
非关键/非重要类 |
普通消费电子产品、办公软件 |
制造商自评+技术文档 |
|
重要Ⅰ类 |
较高网络安全风险 |
身份管理系统、密码管理器、防火墙、VPN |
协调标准或第三方评估 |
|
重要Ⅱ类 |
更高安全风险 |
操作系统、微处理器、路由器、智能卡/安全元件 |
强制第三方Notified Body评估 |
|
关键产品 |
关键基础设施/高安全 |
由欧盟委员会另行制定清单 |
高等级安全认证(如EUCC) |
五、CRA核心义务
1. 安全设计(Security by Design):默认安全配置、最小化攻击面、访问控制、数据加密保护
2. 风险管理:网络安全风险评估记录、第三方组件尽职调查(含开源)
3. SBOM管理:维护软件物料清单(Software Bill of Materials),识别并记录所有软件依赖关系
4. 漏洞应对:已知漏洞24h内向ENISA报告、及时修复并提供安全更新、安全支持期至少5年
5. CE标志:编制技术文档、签署符合性声明、张贴CE标志上市
六、CRA vs EN 18031:企业必须搞清楚的关系
|
对比维度 |
EN 18031 |
CRA |
|
法律依据 |
RED指令协调标准 |
独立法规 (EU) 2024/2847 |
|
强制执行时间 |
2025年8月1日 |
2027年12月11日 |
|
适用对象 |
仅无线设备 |
所有带数字元素的产品 |
|
软件范围 |
不单独覆盖软件 |
覆盖独立软件及SaaS |
|
罚款上限 |
全球年营收4% |
最高1500万欧元/全球年营收2.5% |
|
关系 |
CRA体系下无线设备的一条合规路径 |
上位法规,EN 18031为其协调标准之一 |
给长三角企业的建议:无线设备制造商——2025年先通过EN 18031 → 2027年确认是否同步满足CRA;有线设备/软件企业——不必做EN 18031,但2027年必须满足CRA;两类都做的企业——建议以CRA为顶层框架统一规划,避免重复投入。
七、违规后果
|
违规类型 |
最高处罚 |
|
违反基本网络安全要求 |
1500万欧元 或 全球年营收的2.5%(取较高者) |
|
违反报告义务等其他要求 |
1000万欧元 或 全球年营收的2%(取较高者) |
|
向监管机构提供误导信息 |
500万欧元 或 全球年营收的1%(取较高者) |
八、常见问题(FAQ)
Q1: CRA和GDPR是什么关系?
GDPR管“数据隐私”,CRA管“产品安全”——二者是互补关系,不是替代关系。一款产品可以同时合规GDPR(数据保护做得好)但不合规CRA(产品本身有安全漏洞)。CRA、GDPR、NIS 2构成欧盟网络安全的“三驾马车”。罚款标准也相互独立,可能叠加处罚。
Q2: 独立SaaS软件需要CE标志吗?
是的。CRA明确将独立软件产品纳入监管范围(这是与EN 18031的重大区别之一)。SaaS服务提供商也属于CRA定义的“制造商”,需要满足相应的安全设计、漏洞管理和合规文档要求,并张贴CE标志。不过,如果SaaS已被NIS 2指令列为关键/重要实体的网络服务,则不重复适用CRA。
Q3: 用开源组件的产品需要特别注意什么?
CRA要求制造商对所有第三方组件(包括开源软件)进行尽职调查,并维护完整的SBOM。如果你的产品使用了开源组件,必须能够:1)列出所有开源依赖的名称和版本;2)证明已评估其安全风险;3)在发现组件漏洞时及时修复并通知用户。CRA对开源社区本身有豁免条款,但商业产品中使用开源组件的制造商不能免责。
Q4: 已经做了EN 18031,还要不要做CRA?
如果产品是无线设备:通过EN 18031认证已覆盖了CRA在该设备类型上的大部分网络安全要求,但需要补充确认是否满足CRA的额外义务(如SBOM、24小时事件报告、5年安全支持期承诺等)。如果产品是有线设备或独立软件:EN 18031不适用,必须直接按CRA要求合规。上海广测已为企业设计了“EN 18031 → CRA”的无缝升级方案,避免重复评估。
Q5: CRA合规需要多长时间?
取决于产品类型和现有安全成熟度:“默认产品”级别的消费电子产品,若已具备基本安全机制,从评估到取得CE标志通常需要2-5个月;“重要产品”需第三方评估,整体周期可能延长至6-12个月;“关键产品”涉及EUCC等高等级认证,周期可达12个月以上。距离2027年12月全面强制还有约18个月,建议企业尽早启动。