《欧盟网络弹性法案》(CRA)是欧盟颁布的法规,针对投放至欧盟市场的带数字化功能产品,依据产品关键等级划定对应的网络安全防护标准。法案核心目标是将安全机制融入数字化产品从设计研发到上市后运维服务的全生命周期,以此全面提升整体网络安全防护水平。
对制造商而言,《欧盟网络弹性法案》(CRA)带来了监管要求的重大转变,法案明确规定厂商负有主体责任:出厂产品需默认具备安全防护能力,并持续有效管控产品漏洞。企业理解并落实 CRA 合规要求,不仅是合法进入欧盟市场的必要条件,同时也是维系客户信任、规避处罚、在网络安全要求日趋严格的市场中保持竞争力的关键。
投放市场的定义为:“首次将产品投放至欧盟市场,用于在欧盟境内分销或使用;无论产品有偿售卖还是免费提供,亦不限定任何销售模式。”
依据《欧盟产品合规蓝皮书》,需重点留意:现有产品的全新批次,即便型号与合规截止日期前完全一致,也必须符合新规要求。
《欧盟网络弹性法案》适用于将数字化产品投放欧盟市场的制造商、进口商及经销商。该法规制定了一套核心网络安全要求,旨在确保产品在设计、研发与运维全生命周期内,均具备适配等级的网络安全防护能力。
对制造商而言,上述核心要求涵盖第 14 条规定的多项内容,包括网络安全风险管理、出厂默认安全配置、访问权限管控、安全数据存储,以及建立漏洞处置和安全事件上报流程。此外,产品须附带对应的技术文件,用以证明产品符合各项适用规范要求。该技术文件可作为佐证,证明产品的设计、研发与运维工作均遵照法规义务执行。

这些要求的确切适用范围与适用规则,取决于经济经营者的身份、产品特性以及产品在《欧盟网络弹性法案》(CRA)下的分级类别。如需全面了解制造商在产品投放市场前后必须履行的各项法律责任,可查阅我方专题文章:《CRA 制造商合规义务》与《CRA 安全上报义务》。

需重点注意:上报义务适用于所有产品。根据法案第 69 条第 3 款,该义务覆盖全部搭载数字化功能的产品,即便产品在 2027 年 12 月 11 日前完成销售也不例外。因此自 2026 年 9 月 11 日起,所有仍在市场流通的产品(含 2026 年之前投放上市的产品),企业均需建立漏洞监测与上报流程。
除上述整体时间节点外,欧盟网络弹性法案(CRA)的落地实施还包含大量其他关键阶段节点,其中涵盖指定与认证公告机构、制定并统一协调欧盟标准、发布配套实施细则指引等工作。上述事项是完整掌握合规正式评定渠道、实施时间的核心依据。如需查看各关键节点与截止日期的详细汇总,可查阅 CRA 专项时间指南。
《欧盟网络弹性法案》适用于 “具备数字化组件的产品”(PDE),涵盖硬件、软件以及配套远程数据处理方案。产品若可预见会通过逻辑链路或物理接口接入网络或其他设备,即纳入法案管控范围。
依据《欧盟网络弹性法案》对产品进行分级是合规工作的第一步,该分级将决定企业适用何种合格评定流程。本法规根据产品分级设置不同等级的评定要求:产品分为普通数字化产品(默认通用类别),以及更高风险等级产品(重要类、关键类)两类。
该类产品包含绝大多数带数字化组件的消费设备及通用软件。此类产品主要合规路径为自我评定(A 模块),制造商也可自愿选择第三方评定,以降低不合规风险。
本类别涵盖各类原生搭载专项安全功能的产品方案,例如网络安全与身份认证类产品。典型产品包括密码管理工具、杀毒软件、路由器、虚拟专用网络(VPN)、网页浏览器、操作系统及安全芯片。
同时,部分处理敏感信息或承载核心功能的消费类产品也归为此类,例如智能家居设备、智能玩具、健康监测及个人穿戴设备。
目前相关产品细分标准正在制定中。待这些标准完成欧盟统一协调并在《欧盟官方公报》发布引用后,一级重要类产品方可采用自我评定作为合规路径。在此之前,第三方评定是唯一可行的合规方式。
该类别主要包含四类产品:虚拟机管理程序与容器、防火墙(含入侵检测系统 / 入侵防御系统)、防篡改微处理器及微控制器。与一级重要类产品相比,核心区别在于:本类产品必须完成第三方合格评定。
该类别包含三类产品:搭载安全加密模块的硬件设备、智能卡及同类设备、智能电表网关。
此类产品大多应用于银行、电子身份认证(eID)等高安全等级场景,通常也纳入通用标准(EUCC/Common Criteria)认证适用范围。
关键类产品同样必须完成第三方合格评定,而通用标准(EUCC)认证是绝大多数制造商最常用、适配度最高的合规途径。
如需了解更详细信息,可查阅《欧盟网络弹性法案》法规文本附件三、附件四,确认自身产品对应的分类。欧盟委员会后续将发布配套指引及实施法案,帮助制造商与产品供应方完成准确的产品类别划分。
与此同时,欧盟委员会已编制《具备数字化组件的重要类及关键类产品技术说明》,文件中明确了重要类、关键类产品的各类技术界定标准。
已受欧盟专项法规框架管控的产品品类,不在《欧盟网络弹性法案》(CRA)管辖范围内:
请注意:所属行业不在豁免范围内。《欧盟网络弹性法案》(CRA)的核心逻辑是,即便产品受其他法规管辖,也未必能直接排除适用本法案。
依据《欧盟网络弹性法案》,企业合规将依托一套标准化体系落地,该体系由通用横向标准,以及针对重要类、关键类产品的行业专项(纵向)标准共同构成。此类标准是企业证明产品符合《欧盟网络弹性法案》核心要求的关键依据。
因此,对于生产重要类、关键类产品的制造商而言,掌握法案配套标准化工作的推进进度尤为关键,在适用产品专项标准尚在制定阶段的情况下更是如此。标准完善过渡期内,制造商仍需全权承担满足法案核心要求的责任,这会直接影响企业的合规方案、技术文件编制以及合格评定路径选择。
如需查看现行标准化工作的最新汇总清单,请查阅我方《欧盟网络弹性法案》标准对应表;若需了解关键时限与落地实施节点相关背景信息,可参阅 CRA 时间线及实施进度板块。
会有处罚。法规明确界定的不合规情形包括以下几类:
开展欧盟网络弹性法案(CRA)合规工作的最佳实践。
如需了解更多详情,欢迎访问我们的《网络弹性法案》合规专题中心。
我们提供下述服务,助力客户提前完成合规要求,从容应对合规截止期限:
纯软件即服务(SaaS)产品一般不在《网络弹性法案》直接管辖范围内。但如果某 SaaS 方案属于远程数据处理方案,且可直接对接本法规管控的含数字组件产品、或为其提供配套支撑,则该 SaaS 方案需部分遵循 CRA 要求。判定法规是否适用,取决于该 SaaS 的功能定位、部署模式,以及它与受监管产品之间的技术关联。
医疗器械与体外诊断医疗器械主要受欧盟专项行业法规约束,即欧盟法规(EU)2017/745(MDR 医疗器械法规)与(EU)2017/746(IVDR 体外诊断器械法规)。因此这类产品通常不在《网络弹性法案》直接适用范围。尽管如此,制造商仍需审慎评估:与医疗器械配套的独立软件组件或数字模块,是否会触发其他欧盟通用法规项下的网络安全合规义务。
机动车主要受欧盟法规(EU)2019/2144 及联合国欧洲经济委员会(UNECE)配套网络安全规范管辖,上述法规适用优先级通常高于《网络弹性法案》。但部分未被车辆专项法规完整覆盖的数字零部件、后市场改装产品或独立软件,仍可能落入 CRA 管控范畴。因此需按产品个案逐一评估法规适用性。
大量物联网设备均受《网络弹性法案》管控,这类设备属于搭载数字组件、可连接网络或其他设备的产品。根据预期用途与风险等级,物联网产品会被划分为普通类、重要类、关键类三个等级,产品等级决定对应的符合性评估路径与所需安全保障等级。
CRA 增设了开源维护方主体类别,指代商业化运营或提供开源产品技术支持的经营主体。该类主体有义务落实网络安全管理制度、配合监管机构调查、配合漏洞负责任披露流程。非商业性质的开源项目可获得豁免。
无线电设备指令(RED)与《网络弹性法案》均针对联网产品提出网络安全要求,但管控范围、实施时间存在差异。
RED 的网络安全条款仅适用于特定品类无线电设备,核心目标为保护通信网络、个人数据、防范欺诈行为。
《网络弹性法案》则搭建覆盖所有含数字组件产品的通用、跨行业网络安全合规框架。
2027 年 12 月前,无线电设备制造商优先遵循 RED 项下网络安全条款;自 2027 年 12 月起,落入 CRA 管控范围的产品,除满足 RED 相关要求外,还需在全生命周期内符合 CRA 强制性基础网络安全要求。
实操层面,联网无线电设备厂商需梳理 RED 与 CRA 合规要求的衔接规则,统一技术文档、风险评估、符合性检测流程,避免 CRA 全面落地后重复开展合规工作。
《网络弹性法案》为投放欧盟市场的所有含数字组件产品设定强制性网络安全合规要求。依据《欧盟网络安全法案》设立的欧盟网络安全认证体系(EUCC)、通用准则(Common Criteria)认证,是通过标准化评估体系证明产品安全保障能力的认证机制。
取得 EUCC 或通用准则认证,不代表自动满足 CRA 合规要求。但根据产品品类与选用的符合性评估路径,上述认证产出的评估材料可复用、对齐,辅助完成 CRA 合规,高安全等级产品尤为适用。
欧盟网络安全局(ENISA)正在开展试点项目,研究 EUCC 与 CRA 的协同机制,填补两类体系之间的合规缺口。
《网络弹性法案》聚焦投放欧盟市场的数字产品网络安全要求,规定产品全生命周期的设计、开发、文档留存、运维安全标准。
NIS2 指令面向机构主体,针对关键、重要经营主体设立网络安全风险管理、安全事件上报义务。
企业可能同时受两套法规约束,但二者管控维度互补:CRA 管控产品端网络安全,NIS2 管控企业组织层面的网络安全治理与运营。满足 NIS2 合规不能豁免 CRA 合规义务。
《网络弹性法案》管控上市数字产品的网络安全要求,约束对象为产品制造商,核心是产品合规。
DORA(数字运营弹性法案)仅适用于金融行业,针对机构主体提出 ICT 风险管理、业务运营韧性、安全事件上报要求。
两项法规均旨在提升网络弹性,但适用主体、合规义务完全区分。金融机构采购使用的产品需满足 CRA,机构自身则需单独完成 DORA 合规。
《网络弹性法案》与欧盟 AI 法案并行适用,管控不同类型风险。
CRA 针对全部数字产品设置强制网络安全底线;欧盟 AI 法案依据人工智能系统风险等级实施管控,覆盖安全、透明度、数据治理、人工监督等维度。
内置 AI 功能的产品需同时满足两项法规:CRA 管控产品基础网络安全,AI 法案管控人工智能特有风险,制造商需分别评估、落实两套法规对应的合规义务。
通过 ISO/IEC 27001 认证不代表满足 CRA 要求:CRA 聚焦产品端强制性网络安全规范,而非企业组织级信息安全管理。
但企业现有符合 ISO 标准的管理流程可支撑部分 CRA 合规要求,助力完成 H 模块等基于质量管理体系的符合性评估路径。
ISO 9001 聚焦质量管理体系与流程管控,并未直接规定网络安全条款。但成熟的 ISO 9001 体系可提供标准化框架,支撑文档管控、变更管理、产品全生命周期流程搭建,为 H 模块等 CRA 符合性评估路径落地提供基础。
Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.
They allow the operation of the website, loading media content and its security. See the cookies we store in our Cookies Policy
They allow us to know how you interact with the website, the number of visits in the different sections and to create statistics to improve our business practices. See the cookies we store in our Cookies Policy
Based on your behavior on the website (where you click, how long you browse, etc.) we establish parameters and a profile for you to display ads that correspond to your interests. See the cookies we store in our Cookies Policy