网络弹性法案：2025年10月的实施现况

CRA框架概览

CRA适用于大多数互联硬件和软件产品，预计将于2027年12月全面实施。到2026年9月，制造商必须开始报告所涉及的漏洞和严重事件。该法规要求在设计和默认情况下进行网络安全、持续的漏洞管理和全面的技术文档支持。这些元素已经得到充分认可，并且在之前的Applus+ Laboratories官网的“刊物”栏目中得到了广泛的介绍

CRA合格评定模型：已确定的路线，待指导

CRA概述了几种合格评定模型，每种模型都与产品的分类和风险水平相关联：

• 模块A（自我评估）：对于默认产品，允许制造商在没有外部验证的情况下声明产品是否合格。

• 模块 B+C（型式检验+生产控制）：涉及设计验证（模块B）和内部生产控制（模块C）的公告机构。

• 模块 H（质量体系审核）：基于审核制造商的质量体系和流程以确保它们符合 CRA要求的合格评定。

• 欧洲认证方案：例如EUCC或EUCS，如果得到欧盟委员会的认可，它们可能会提供部分或全部符合性推定

聚焦模块H

截至2025 年10月，模块H已成为一个特别热门的话题。它通过利用对制造商质量管理体系的审核（结构类似于 ISO 9001）而不是要求逐个产品进行测试，提供了一条潜在的有效合规途径。这种模式更适用与拥有成熟内部流程的制造商。

然而，有几个方面仍未解决：

• 目前还没有关于如何在CRA背景下应用模块H的官方指南。

• 目前尚不清楚需要什么程度的审计深度，也不清楚它将如何与现有的质量标准相协调。

• 模块H下的公告机构认证标准仍在制定中，这引发了有关不同产品类型之间的一致性和范围问题。

尽管存在这些差距，Applus+ Laboratories等组织已经在研究符合新立法框架 （NLF）的模块化方法，为模块H的实施做准备。

CRA协调标准：一个不断变化的目标

欧洲标准组织正在积极制定协调标准以支持 CRA合规性。这些包括：

• 横向标准：适用于产品类型和用途的框架级标准，用于构建垂直标准。

• 纵向标准：特定于产品类别，例如：身份管理系统、作系统或防篡改微处理器和微控制器。这些类型的标准现在正在为重要的 I 类和 II 类以及关键产品制定。

在发布时：

• 纵向统一标准将提供符合性推定，简化合规流程。

• 虽然标准的履行为自发性质，但强烈建议履行此标准。

然而，仍然存在几个问题：

• 尽管标准化利益相关者正在积极制定这些标准，但适用标准的最终清单尚未发布，。

• 并非所有产品类型都可以在2027年的最后期限前及时制定专门的纵向标准。目前没有针对默认产品或默认产品类型规划纵向标准，这些产品估计占市场的90%，即使水平框架仍可作为参考。这引发了人们对这些产品如何在没有量身定制的指导的情况下证明合规性的担忧。

CRA制造商的义务：明确的要求，复杂的实施

CRA对制造商施加了一套全面的义务，包括：

• 满足附件 I（第1部分和第2部分）中概述的基本网络安全要求，涵盖产品安全属性和漏洞处理。

• 根据预期用途、可预见的误用和部署环境进行风险评估。

• 对所有组件（包括第三方和开源软件）进行尽职调查，以确保它们符合CRA要求，即使它们尚未在欧盟受到监管或销售。

• 维护机器可读的软件物料清单（SBOM）以跟踪所有软件组件。

• 在整个产品支持期内提供安全更新。

• 准备详细的技术文档（附件 VII）和最终用户指南（附件 II），包括安全配置说明、漏洞报告联系点和符合性声明。

在起草本条时，虽然这些义务在法规中得到了明确的定义，但实际实施仍然具有挑战性：

• 制造商必须建立内部流程以持续监控和响应漏洞。

• 预计仍会提供关于如何处理市场上已有的开源组件和遗留产品的指导。

• 报告2027年12月之前销售的产品的漏洞的要求（根据第69.3条）增加了生命周期管理的复杂性。

CRA报告义务：严格的时间表、作复杂性

根据CRA，制造商必须报告：

• 被积极利用的漏洞

• 被积极利用的漏洞

这些必须通过单一报告平台向ENISA和指定的CSIRT报告，并遵循严格的时间表：

• 24小时内：预警。

• 72小时内：包含初步评估和缓解计划的通知。

• 14天内：漏洞的最终报告。

• 1个月内：事件的最终报告。

总结

虽然 CRA 的基本要求很明确，但许多技术和程序细节仍在发展中。截至 2025 年 10 月，制造商已经可以开始在产品分类、文档、漏洞管理和报告等关键领域做好准备。随时了解并参与监管更新对于确保合规性和维持市场准入至关重要。

下载研讨会PPT（.pdf)