全程助力制造商完成 CRA 合规全流程,从法规入门解读到合规评估一站式支持。

《网络弹性法案》目前尚未全面强制实施,但相关合规义务将分阶段落地。各制造商的网络安全成熟度参差不齐,企业筹备工作需结合 CRA 义务生效时间,以及自身产品、组织现有合规完善程度统筹推进。

 


CRA 合规核查清单:制造商关键执行步骤

  • 划定适用产品分类(基础类、重要 I/II 类、关键类)
  • 选定对应合格评定路径(A 模块、B+C 模块、H 模块或 CSA 方案)
  • 核查重要产品统一协调标准(hEN)是否可用
  • 编制技术文件
  • 开展自我评估或委托第三方评估机构
  • 确保满足网络安全及法规相关要求
  • 留存全套文件与合规证明材料
步骤 1

吃透《网络弹性法案》(CRA)法规要求

首先理清《网络弹性法案》的适用范围、立法目标与整体架构,明确该法规覆盖的产品品类及市场经营者主体。

企业落实 CRA 合规,需在产品全生命周期履行各项法定义务;配套基础网络安全要求明确了搭载数字化组件的产品实际应达到的标准。 CRA 制造商合规义务

尽管 CRA 全面合规要求至 2027 年 12 月才正式强制实施,但针对已被利用的安全漏洞与重大安全事件的上报义务,自 2026 年 9 月起强制执行。 CRA 上报义务(2026 年 9 月起实施)


步骤 2

确定自身适用的产品分类及可行合规评定路径

依据《网络弹性法案》,制造商可选用多种合格评定路径,但该选择并非完全自主决定。法案会根据产品类别,明确规定各类产品对应的合规路径。

制造商在选定 CRA 合规路径前,必须先判定自身产品是否属于《网络弹性法案》管辖范围,并明确产品所属类别。该初始分类将直接限定或决定可选用的合格评定模块。

基础类

消费电子、通用软件等产品

自我评估

  • A 模块
  • 自愿模式 合规可选方案: B+C 模块
  • 或 H 模块
重要产品 —I 类

网络设备、身份认证设备、智能家居解决方案等

具备协调欧洲标准(hEN)可采用自我评估,否则需第三方评估

  • A 模块(存在协调欧洲标准 hEN 时适用)
  • B+C 模块
  • H 模块
重要产品 —II 类

防篡改芯片、防火墙、虚拟机监控程序等

第三方评估

  • B+C 模块
  • H 模块
  • 若存在且适用,可采用 CSA 方案(完整合规路径)
关键类

安全加密机箱、智能电表、智能卡、安全元件(SE)

第三方评估

  • B+C 模块
  • H 模块
  • CSA 方案(欧盟网络安全认证体系 EUCC)

CRA 合规实施路径

  • A 模块 — 内部控制: 制造商全权负责确保产品符合附录一所列核心网络安全要求。制造商需编制技术文件,并建立规范的设计、开发、生产以及漏洞处置流程。企业出具符合性声明、粘贴 CE 标识,相关文件至少留存十年或产品技术支持周期(以较长者为准)。
  • B 模块 — 欧盟型式检验: 公告机构依据提交的文件评审产品技术设计与漏洞处理流程,核查产品是否满足核心要求;评审通过后,为该核准产品型号颁发欧盟型式检验证书。
  • C 模块 — 基于内部生产管控的型式符合性: 制造商须确保量产产品与 B 模块核准的产品型号保持一致,并持续满足网络安全相关要求。企业落实生产管控措施,为产品加贴 CE 标识,出具符合性声明并按规定期限留存保管。
  • H 模块 — 基于全面质量保证的符合性认证: 制造商运行经公告机构认可、覆盖产品全生命周期的质量管理体系。公告机构会对该体系进行评审,并开展持续监督以确保合规性长期维持。产品加贴 CE 标识,并附带符合性声明。
  • CSA 合格评定方案: 信息通信技术(ICT)产品、服务或流程可依据《网络安全法案》规定的欧盟网络安全认证体系取得认证。认证由认可机构或各国主管部门实施,用以证明相关对象符合既定要求,证书在所有欧盟成员国均有效。

步骤 3

评估企业欧盟网络弹性法案(CRA)合规准备情况

填写我方 CRA 范围界定与合规准备问卷,确认贵司产品是否属于《欧盟网络弹性法案》管控范畴,并对照产品全生命周期核心要求,评估贵司当前网络安全成熟度水平。

若企业网络安全成熟度仍处于较低水平,可先开展 CRA 合规培训,之后再进行系统化的合规筹备与差距分析。

CRA 合规调查问卷

CRA 合规培训

步骤 4

CRA 合规路径考量要点

制造商在选定 CRA 合规路径前,需考量协调标准的现行状态,以及其与现有网络安全认证之间的关联影响。

对于拥有多款产品或产品属于重要、关键类别的企业而言,上述因素会影响自我评估方式的适用范围,同时企业可复用已有合规佐证材料,或选用 H 模块这类基于质量体系的合规路径完成适配。

CRA 与其他认证(EUCC)的关联关系

CRA 标准对标梳理

 


步骤 5

即刻对接公告机构,提前布局 CRA 合规工作

Applus+ Laboratories正依据《欧盟网络弹性法案》推进公告机构(NB)的资质认可与备案流程。在此期间,制造商现已可着手筹备产品及技术文件,开展 CRA 符合性评定,尤其是采用 B+C 模块、H 模块等需第三方评审的合规路径。

提前筹备可让制造商预先评估产品设计、漏洞处置流程及配套佐证材料,减少正式公告机构评审启动后的不确定性,避免返工。

A 模块合规服务

欧盟网络弹性法案(CRA)合规就绪度评估

对照《欧盟网络弹性法案》核心网络安全要求识别合规差距,并制定合规落地路线图。

推荐面向普通类产品,以及缺乏网络安全法规合规经验的企业选用。

启动 CRA 合规差距分析

B+C 模块合规服务

开展产品 CRA 合规评估

为 B+C 模块完成产品与技术文件筹备工作,便于在正式评审阶段复用测试报告与合规佐证材料。

采用以产品为核心的合规方案,适用于所有产品类别,也适合希望降低内部自我评估法规风险的企业。

启动产品合规流程

H 模块合规服务

核查贵司质量体系是否满足 CRA 合规要求

为配合后续公告机构开展 H 模块审核,提前完善企业自身体系与质量管理体系。

推荐用于二类产品与关键类产品,同时适合希望选用可规模化方案替代 B+C 模块的企业。

启动质量管理体系合规流程

欧盟网络安全认证

欧盟网络安全认证(EUCC)符合性评定

适用于重要类及关键类产品的欧盟网络安全认证,该类产品需接受独立第三方机构评定。

欧盟网络安全认证(EUCC)可在全欧盟范围内提供公认的安全保障等级,并可在适用场景下支撑企业满足《欧盟网络弹性法案》(CRA)合规要求。

凭借欧盟网络安全认证(EUCC)实现《欧盟网络弹性法案》(CRA)合规

 

为何选择Applus+ Laboratories作为您 CRA 合规之路的合作伙伴?

《欧盟网络弹性法案》(CRA)合规工作体系繁杂、规则持续更新,且高度取决于产品类别、安全保障等级及标准化落地情况,不存在一套适用于所有产品的标准化流程。

  • 即刻行动、提前筹备:CRA 合规义务将分阶段落地,尽早筹备能够降低合规风险与整体成本。
  • 专注产品的网络安全专业能力: 拥有丰富的复杂产品合规评估实操经验。
  • 配套 B+C 模块、H 模块全流程合规筹备服务。
  • 欧盟网络安全认证(EUCC)现已落地:可为高安全等级认证路径提供即时技术支持。
  • 体系互通、材料复用: 已打通 CRA、EUCC、通用准则(CC)及各类认证体系,可共享复用合规材料。
  • 一站式全流程合作伙伴:从前期合规筹备,到符合性评定,再到最终认证全程护航。

 

欢迎咨询我司 CRA 合规专家,定制专属合规落地方案!

Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

Cookie settings panel