刊物

网络韧性法案报告义务

09/03/2026

    《网络韧性法案》(CRA)第 14 条为带有数字组件的产品制造商解答了一个实际问题:若发现相关问题正被主动利用,或发生严重安全事件,应向谁通报、需在多长时间内通报,以及报告中必须包含哪些信息?

    本文将结合事件或漏洞的性质与严重程度,分析制造商在向欧盟网络安全事件应急响应小组(CSIRT‑ENISA)进行通报时可选择的各类上报路径。如需了解关于《网络韧性法案》的更深入内容,读者可查阅我们的《欧盟网络韧性法案指南》,或访问我们的 CRA 专题中心,获取该法规的详细解读,并进一步了解我们为助力制造商满足 CRA 合规要求所提供的相关服务。

    CRA第14条: 网络韧性法案项下制造商的报告义务

    第 14 条确立了制造商的报告义务,当制造商知悉特定安全事件时,适用两条并行的上报路径。

    路径一:被主动利用的安全漏洞

    被主动利用的漏洞是指恶意行为者已在利用产品中的缺陷实施危害行为的情形。该上报路径适用于已确认存在持续利用行为、且该行为对用户或其他人员造成影响的场景,例如:面向用户的组件中出现可绕过身份验证实现未授权访问的漏洞,或因权限提升漏洞导致数据被盗。制造商一旦发现此类恶意利用行为,必须迅速评估漏洞利用的性质与影响,并立即采取整改或缓解措施,以保护用户并防止危害进一步扩大。

    漏洞上报时限(第 14 条第 2 款)

     

    0小时 – 知悉事件
    您知悉存在一处正被主动利用的安全漏洞
    24小时 – 预警通报 (≤ 24 小时)
    • 尽快发送,即便信息尚不完整
    • 注明漏洞正被主动利用的状态
    • (如适用)请列明
    • 产品可供应的欧盟成员国
    72小时 – 漏洞通报 (≤ 72 小时)
    • 补充详细信息(如尚未提供)
    • 列明通用产品信息(如有)
    • 说明漏洞利用行为与安全漏洞的基本性质
    • 列明已采取的整改及缓解措施
    • 列明用户当前可采取的应对措施
    • (如适用)注明所通报信息的敏感程度
    14天 – 最终报告(在修复 / 缓解方案发布后≤14 天内提交)
    • 包含漏洞描述
    • 包含漏洞严重级别及影响范围
    • (如可获取)包含恶意行为主体相关信息
    • 包含安全更新 / 整改措施的详细信息

     

    路径二:影响产品安全的重大事件

    严重事件指已经或可能影响产品安全性,或影响制造商研发、生产及维护流程的网络安全事件。此类事件未必涉及主动利用行为,但一旦对用户或其他人员构成重大网络安全风险,即被认定为严重事件。示例包括:更新程序中被植入恶意代码、代码签名密钥或签名服务遭入侵、源代码仓库或编译构建系统被攻破并影响已交付产品等。

    符合下列任一情形的事件,即归类为严重事件:

    • 该事件损害产品保障重要或敏感数据及功能的可用性、真实性、完整性或保密性的能力;
    • 该事件导致(或可能导致)恶意代码被植入或在产品中、或在用户系统中执行。

     

    严重事件上报时限(第 14 条第 4 款)

     

    0小时 – 安全意识
    制造商知悉发生严重事件。
    ≤ 24 小时 – 早期预警
    提交预警报告,内容应包括:
    • 是否怀疑存在非法或恶意行为
    • 初步评估
    • 产品上市销售的成员国(如适用)
    • 已采取的缓解或纠正措施
    ≤ 72 小时 – 事件通报
    提交事件通报,内容应包含(如可提供):
    • 事件性质
    • 严重程度与影响
    • 详细描述
    • 可能的威胁类型或根本原因
    • 用户可采取的应对措施
    • 通报信息的敏感程度(如适用)
    ≤ 1个月 – 最终报告
    提交最终报告,内容应包括:
    • 已实施且正在执行的缓解措施
    • 调查完成后的汇总信息

     

    报告方式及渠道:单一报告平台

    对于两条路径,制造商均通过单一报告平台进行上报。相关通报将同时供国家协调员计算机安全应急响应组(CSIRT)与欧盟网络安全局(ENISA)查阅。

    截止日期、适用范围及遗留产品

    根据第 14 条规定的报告义务自2026 年 9 月 11 日起施行。针对所有属于《网络弹性法案》(CRA)适用范围内的含数字组件产品,制造商必须上报被主动利用的漏洞及严重事件,其中包括2027 年 12 月 11 日之前已投放市场的产品(参见第 69 条第 3 款)。

    向受影响用户发出的通知

    在发现被主动利用的漏洞或严重安全事件后,制造商必须通知受影响的用户。

    第三方组件漏洞上报

    若产品中存在由集成组件引发、正被主动利用的漏洞,产品制造商必须进行通报。如该组件已上市销售,组件制造商亦须进行通报。

    授权法案与计算机安全应急响应组(CSIRT)协调工作

    一份授权法案对《网络弹性法案》(CRA)进行补充,其中明确了首个接收通报的协调方计算机安全应急响应组(CSIRT) 可延迟向其他成员国 CSIRT 共享通报信息的条件与条款。请在此查阅官方文本:授权法案。

    面向制造商的实操指南

    • 起步阶段:通过网络弹性法案(CRA)培训建立认知、明确职责,并阅读《CRA 核心指南》。
    • 流程落地:通过CRA 就绪评估开展差距分析
    • 高成熟度阶段:为相关保障体系做好准备,例如网络韧性标志(Cyber Resilience Mark)或欧盟网络安全认证(EUCC)。
    • 端到端支持:请参考我们CRA 合规服务页面上的成熟度路径。

    CRA 上报常见问题解答

    1) 制造商根据《网络弹性法案》(CRA)第 14 条必须上报哪些内容?

    通过单一报告平台提交被主动利用的漏洞和重大安全事件。

    2) 制造商需要在多长时间内完成上报?

    计时自制造商知悉该漏洞或事件时起算。待平台及相关指引发布后,须遵循其中规定的具体时限执行。

    3) 遗留产品是否需要上报?

    需要。只要属于《网络弹性法案》(CRA)适用范围,包括2027 年 12 月 11 日之前已投放市场的产品,均需上报。

    4) 若漏洞源自第三方组件,应如何处理?

    产品制造商与组件制造商(如该组件已上市销售)均负有通报义务。

    5) 制造商是否需要同时向用户和监管部门进行通报?

    是的。制造商在知悉相关问题后,必须通知受影响的用户。

    返回出版物

    Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

    Cookie settings panel