IT/AV终端检测认证事业部

网络弹性法案CRA
随着欧盟《网络弹性法案》（CRA）配套实施条例 \\(EU) 2025/2392正式落地，欧洲市场数字产品监管进入全新阶段。法案按照网络安全风险高低，将所有带数字元素的产品划分为普通产品、重要产品（I 类 / II 类）、关键产品三大梯队，其中重要产品 \\ 是绝大多数消费电子、网络设备、智能家居、儿童数码厂商的核心合规焦点，也是监管抽查、准入管控的重点对象。

结合官方法规、ETSI 配套纵向标准以及市场主流产品形态，今天全面拆解 CRA 框架下重要产品的定义、细分品类、判定规则、合规差异，同时结合大家日常接触的手机、路由器、智能玩具、穿戴设备等热门产品逐一解读，帮厂商、外贸从业者、合规人员精准对标品类，理清合规路径。

一、先搞懂核心：CRA产品分级底层逻辑

CRA 分级不以产品形态划分，核心依据是「产品核心功能 + 安全风险影响范围」：产品一旦出现漏洞、被恶意攻击，是否会批量泄露数据、瘫痪局部网络、威胁人身安全或公共安全，是划分的核心标尺。

普通产品：低风险，漏洞影响范围极小，仅针对单台设备，欧盟市场占比约 90%，仅需厂商模块 A 内部自检 + 自我声明（DoC），无强制第三方认证；

重要产品（分 I 类、II 类）：中高风险，是本次解读重点，也是欧盟监管核心；

关键产品：最高风险，直击欧盟能源、通信等关键基础设施，强制欧盟统一高级别网络安全认证，不在本文重点范围内。

补充关键时间节点（全行业必记）：

漏洞上报义务：2026 年 9 月 11 日 正式生效；

CRA 全套强制合规要求：2027 年 12 月 11 日 全面落地；

目前各品类 ETSI 纵向标准多为成熟草案，2026 年下半年陆续发布正式版，现阶段可提前布局整改。

二、重要产品两大梯队：I类 vs II类核心区别

欧盟实施条例 (EU) 2025/2392 明确：重要产品分为I 类重要产品（中等风险）和II 类重要产品（高风险），两类产品风险等级、合规模式、监管强度差异极大，也是企业最容易踩坑的地方。

（一）I 类重要产品（中等风险）

核心判定：具备联网、数据存储、身份验证、内容交互等功能，漏洞可能影响多名用户、局部网络，部分产品面向儿童等弱势群体，隐私安全优先级更高。

合规规则（核心亮点）：若产品完整采用对应 ETSI 协调标准（纵向标准），可继续使用模块 A 内部自检，无需第三方公告机构介入；未采用协调标准，则必须委托欧盟公告机构做第三方评估。

（二）II 类重要产品（高风险）

核心判定：承担网络防护、系统底层管控、工业运维等核心功能，一旦被攻破，极易引发大规模网络攻击、系统瘫痪，属于网络安全 “屏障类” 核心设备。

合规规则（红线要求）：禁止使用模块 A 自检，无论是否采用协调标准，强制要求第三方公告机构开展符合性评估，准入门槛、测试标准远高于 I 类产品。

三、CRA重要产品明细（含热门品类解读）

结合官方19类I类、6类II类重要产品清单，结合你整理的8大常见品类+市面主流产品，分场景逐一拆解，同时标注对应纵向标准、适用人群，方便直接对标。

第一部分：I 类重要产品（中等风险・主流消费 / 民用主力）

一、搭载完整操作系统的终端设备

包含品类：智能手机、平板电脑、笔记本 / 台式电脑、一体式工控终端、智能电视（带独立系统）等预装完整操作系统的硬件整机，以及配套独立操作系统软件（Windows、安卓、iOS、Linux 桌面版等）。

风险原因：操作系统是所有软件、硬件的运行底座，漏洞会直接导致设备被控、数据全盘泄露，是网络攻击高频目标。

合规参考：无专属单一纵向标准，遵循 CEN/CLC prEN 40000 系列通用要求，可采用模块 A 自检。

补充区分：仅搭载简易嵌入式固件（无完整操作系统）的普通小家电，归为普通产品。

二、民用通信与网络基础设备（路由器、光猫等）

包含品类：家用路由器、无线 AP、宽带光猫（Modem）、家用交换机、小型组网设备等民用网络接入设备。

边界区分：企业级核心交换机、骨干路由器不属于此类，划入 II 类重要产品。

风险原因：作为家庭 / 小型办公网络的出入口，被入侵后可监听全网流量、劫持联网设备，威胁全屋 IoT 产品安全。

补充：此类设备内置的有线 / 无线网卡、网络接口模组，同步适用 ETSI EN 304 625（网络接口专项标准）。

三、带安全功能的智能家居产品

包含品类：智能摄像头、智能门锁、门窗报警器、人体感应安防设备、婴儿监护器、带加密 / 身份验证的智能家居中控等安防类智能家居。

划重点：单纯智能灯泡、智能插座（无安全监测、视频、门锁功能）属于普通产品，只有叠加安防、身份核验功能才划入 I 类重要产品。

对应标准：ETSI EN 304 632（家居安防专项纵向标准）。

四、智能家居语音虚拟助手

包含品类：内置语音助手的智能音箱、独立家居语音交互终端、全屋语音中控等，核心功能为家居设备控制、语音交互、云端服务联动的产品。

对应标准：ETSI EN 304 631（智能家居语音助手专用标准），采用该标准可走模块 A 自检。

边界区分：蓝牙耳机、普通音箱仅带基础语音唤醒（无家居控制），归为普通产品。

五、AI 联网儿童玩具 / 早教机器人（高关注度品类）

包含品类：具备语音交互、摄像头拍摄、地理位置定位、社交联网、远程互动的 AI 儿童机器人、联网早教机、智能玩偶、儿童互动玩具等。

风险特殊性：面向儿童弱势群体，欧盟额外强化隐私、防骚扰、家长管控要求。

对应标准：ETSI EN 304 633（联网玩具专项标准），采用标准可自检。

排除项：纯本地运行、无公网联网的玩具，一律为普通产品。

六、智能可穿戴设备

分为两大细分，对应不同纵向标准：

健康监测类穿戴：智能手表、睡眠监测仪、心率手环、体温监测穿戴、运动健康终端；

儿童专用穿戴：带定位、通话、监护功能的儿童手表、婴儿监测手环、智能安抚奶嘴等。对应标准：ETSI EN 304 634（健康 & 儿童穿戴专项标准）。排除项：无监测、无联网的普通装饰手环，属于普通产品。

七、物理 / 虚拟网络接口产品

包含品类：有线网卡、无线网卡（Wi-Fi / 蓝牙 / 蜂窝模组）、PCIe 网卡、USB 网络适配器、系统虚拟网卡、VPN 虚拟接口、网络驱动程序等以网络连接为核心功能的软硬件。

对应标准：ETSI EN 304 625（网络接口专项标准）。

补充：手机、耳机、玩具等整机属于其他品类，但内部集成的网卡 / 模组需同步遵循本标准。

八、通用安全类软件（终端侧）

包含品类：终端杀毒软件、恶意软件查杀工具、密码管理器、独立浏览器、终端身份认证软件、基础 VPN 客户端（民用版）。

风险原因：直接负责设备防护、账号密码存储、网络加密，漏洞会直接导致账号失窃、恶意软件入侵。

九、其他补充 I 类重要产品（企业 / 小众品类）

身份管理软件、特权访问管理工具、网络管理系统、安全日志分析工具（SIEM）、公钥证书软件、带安全功能的通用 MCU / 单片机等，同样归入 I 类。

第二部分：II 类重要产品（高风险・企业 / 基础设施主力）

此类产品严禁模块 A 自检，强制第三方评估，多为企业级、网络核心防护设备，消费端民用产品较少：

专业网络安全设备：企业级防火墙、入侵检测 / 防御系统（IDS/IPS）、硬件安全网关、企业级 VPN 服务端；

虚拟化核心组件：虚拟机监控程序（Hypervisor）、服务器虚拟化底层系统；

工业控制产品：受 NIS2 法规约束的工业控制系统（PLC、工业网关）、工业安全防护设备；

防篡改硬件：防篡改芯片、安全处理器、工业级加密硬件；

企业级网络设备：运营商 / 数据中心级交换机、骨干路由器、核心调制解调器；

其他：专用网络隔离设备、高级网络防护硬件等。

四、高频易错品类辨析（避坑指南）

结合日常咨询高频问题，区分「重要产品」和「普通产品」，解决混淆点：

蓝牙耳机 / 普通蓝牙音箱纯音频播放、仅基础蓝牙联网，无安全功能、无语音中控、无定位 → 普通产品，模块 A 自检即可；

若集成健康监测、儿童定位功能 → 升级为 I 类重要产品。
 

普通办公软件（Word/PPT）无安全防护、无账号托管功能 → 普通产品；

企业级加密办公、终端安全管控软件 → I 类重要产品。
 

传统玩具 / 本地 AI 玩具完全不联网、仅本地语音互动 → 普通产品；

接入公网、带摄像 / 定位 / 远程聊天 → I 类重要产品（联网玩具）。
 

智能家电（冰箱 / 洗衣机）仅基础联网、无安防 / 数据加密功能 → 普通产品；

搭载摄像头、门锁、报警等安全模块 → I 类重要产品。
 

网卡 / 模组 vs 整机单独售卖的 Wi-Fi / 蓝牙模组、网卡 → I 类重要产品；

模组集成在耳机、玩具内部，整机按主功能归类，模组本身仍需满足网络接口标准。

五、重要产品合规全流程

（I类 / II类差异化）

1. I 类重要产品（主流民用产品首选）

✅ 路径 1（推荐，降本增效）：完整匹配对应 ETSI 纵向标准 → 执行模块 A 内部自检，完成风险评估、测试、SBOM（软件物料清单）、技术文档留存、欧盟自我声明（DoC），加贴 CE 标识。

✅ 路径 2：未采用协调标准 → 必须找欧盟公告机构做第三方评估（模块 B+C）。

2. II 类重要产品（企业级安全 / 网络设备）

❌ 禁止模块 A 自检；

✅ 强制流程：产品研发测试 → 欧盟公告机构前置审核 + 样品实测 → 获取合规证书 → 方可投放欧盟市场，上市后高频监管抽查。

通用强制义务（所有重要产品均需遵守）

出厂无已知可利用漏洞，默认配置安全；

建立安全更新机制，保障数年安全支持周期；

编制完整 SBOM 软件物料清单；

漏洞、安全事件按时限向欧盟及成员国机构上报；

完整留存技术文档（留存时长不少于 5 年）。

六、总结&企业行动建议

品类快速复盘

手机电脑、路由器、安防智能家居、语音音箱、AI 儿童玩具、智能穿戴、网卡模组、终端安全软件 = I 类重要产品（中等风险）；

企业防火墙、IDS/IPS、虚拟化底层、工业安全设备 = II 类重要产品（高风险，强制第三方）；纯蓝牙音频、普通家电、本地玩具 = 普通产品。

现阶段行动建议（距离正式合规还有 1 年多窗口期）

① 精准归类产品：对照本文清单，明确自家产品属于 I/II 类重要产品；

② 对标纵向标准：I 类产品优先匹配对应的 ETSI 草案（如玩具对应 EN 304 633、穿戴对应 EN 304 634），提前自测整改；

③ 文档搭建：启动风险评估报告、测试报告、SBOM、漏洞处置流程等模块 A 必备文档；

④ II 类产品提前对接欧盟公告机构，规划第三方测试周期。

欧盟 CRA 的核心逻辑是风险分级、精准监管，90% 的民用数码产品集中在 I 类重要产品范畴，只要选对协调标准、落实内部自检，就能在控制成本的前提下顺利准入欧洲市场。理清品类、提前布局，是出海企业规避合规风险的关键。