《欧盟网络弹性法案》(CRA)是欧盟颁布的法规,针对投放至欧盟市场的带数字化功能产品,依据产品关键等级划定对应的网络安全防护标准。法案核心目标是将安全机制融入数字化产品从设计研发到上市后运维服务的全生命周期,以此全面提升整体网络安全防护水平。

什么是《欧盟网络弹性法案》?为何各界都在热议其带来的影响?

对制造商而言,《欧盟网络弹性法案》(CRA)带来了监管要求的重大转变,法案明确规定厂商负有主体责任:出厂产品需默认具备安全防护能力,并持续有效管控产品漏洞。企业理解并落实 CRA 合规要求,不仅是合法进入欧盟市场的必要条件,同时也是维系客户信任、规避处罚、在网络安全要求日趋严格的市场中保持竞争力的关键。

“将产品投放欧盟市场” 指什么?

投放市场的定义为:“首次将产品投放至欧盟市场,用于在欧盟境内分销或使用;无论产品有偿售卖还是免费提供,亦不限定任何销售模式。”

依据《欧盟产品合规蓝皮书》,需重点留意:现有产品的全新批次,即便型号与合规截止日期前完全一致,也必须符合新规要求。

《欧盟网络弹性法案》有哪些核心网络安全要求?这些要求适用于哪些主体?

《欧盟网络弹性法案》适用于将数字化产品投放欧盟市场的制造商、进口商及经销商。该法规制定了一套核心网络安全要求,旨在确保产品在设计、研发与运维全生命周期内,均具备适配等级的网络安全防护能力。

对制造商而言,上述核心要求涵盖第 14 条规定的多项内容,包括网络安全风险管理、出厂默认安全配置、访问权限管控、安全数据存储,以及建立漏洞处置和安全事件上报流程。此外,产品须附带对应的技术文件,用以证明产品符合各项适用规范要求。该技术文件可作为佐证,证明产品的设计、研发与运维工作均遵照法规义务执行。

这些要求的确切适用范围与适用规则,取决于经济经营者的身份、产品特性以及产品在《欧盟网络弹性法案》(CRA)下的分级类别。如需全面了解制造商在产品投放市场前后必须履行的各项法律责任,可查阅我方专题文章:《CRA 制造商合规义务》与《CRA 安全上报义务》。

企业何时需要遵守《欧盟网络弹性法案》(CRA)?

  • 该法规已于 2024 年 12 月 10 日正式生效,随后设置为期 36 个月的过渡期:
  • 上报相关义务将于法规生效 21 个月后,即 2026 年 9 月 11 日正式强制执行。
  • 技术相关要求将在过渡期再经过 15 个月后正式实施,企业最晚需在 2027 年 12 月 11 日前实现 CRA 全面合规。

 

需重点注意:上报义务适用于所有产品。根据法案第 69 条第 3 款,该义务覆盖全部搭载数字化功能的产品,即便产品在 2027 年 12 月 11 日前完成销售也不例外。因此自 2026 年 9 月 11 日起,所有仍在市场流通的产品(含 2026 年之前投放上市的产品),企业均需建立漏洞监测与上报流程。

除上述整体时间节点外,欧盟网络弹性法案(CRA)的落地实施还包含大量其他关键阶段节点,其中涵盖指定与认证公告机构、制定并统一协调欧盟标准、发布配套实施细则指引等工作。上述事项是完整掌握合规正式评定渠道、实施时间的核心依据。如需查看各关键节点与截止日期的详细汇总,可查阅 CRA 专项时间指南。

《欧盟网络弹性法案》产品适用范围

哪些产品受《欧盟网络弹性法案》(CRA)管辖?是否有相关指引用于判定产品分类?

《欧盟网络弹性法案》适用于 “具备数字化组件的产品”(PDE),涵盖硬件、软件以及配套远程数据处理方案。产品若可预见会通过逻辑链路或物理接口接入网络或其他设备,即纳入法案管控范围。

依据《欧盟网络弹性法案》对产品进行分级是合规工作的第一步,该分级将决定企业适用何种合格评定流程。本法规根据产品分级设置不同等级的评定要求:产品分为普通数字化产品(默认通用类别),以及更高风险等级产品(重要类、关键类)两类。

通用默认类产品

该类产品包含绝大多数带数字化组件的消费设备及通用软件。此类产品主要合规路径为自我评定(A 模块),制造商也可自愿选择第三方评定,以降低不合规风险。

重要类产品 —— 一级(I 类)

本类别涵盖各类原生搭载专项安全功能的产品方案,例如网络安全与身份认证类产品。典型产品包括密码管理工具、杀毒软件、路由器、虚拟专用网络(VPN)、网页浏览器、操作系统及安全芯片。
同时,部分处理敏感信息或承载核心功能的消费类产品也归为此类,例如智能家居设备、智能玩具、健康监测及个人穿戴设备。
目前相关产品细分标准正在制定中。待这些标准完成欧盟统一协调并在《欧盟官方公报》发布引用后,一级重要类产品方可采用自我评定作为合规路径。在此之前,第三方评定是唯一可行的合规方式。

重要类产品 —— 二级(II 类)

该类别主要包含四类产品:虚拟机管理程序与容器、防火墙(含入侵检测系统 / 入侵防御系统)、防篡改微处理器及微控制器。与一级重要类产品相比,核心区别在于:本类产品必须完成第三方合格评定。

关键类产品

该类别包含三类产品:搭载安全加密模块的硬件设备、智能卡及同类设备、智能电表网关。
此类产品大多应用于银行、电子身份认证(eID)等高安全等级场景,通常也纳入通用标准(EUCC/Common Criteria)认证适用范围。
关键类产品同样必须完成第三方合格评定,而通用标准(EUCC)认证是绝大多数制造商最常用、适配度最高的合规途径。

产品分级判定指引

如需了解更详细信息,可查阅《欧盟网络弹性法案》法规文本附件三、附件四,确认自身产品对应的分类。欧盟委员会后续将发布配套指引及实施法案,帮助制造商与产品供应方完成准确的产品类别划分。
与此同时,欧盟委员会已编制《具备数字化组件的重要类及关键类产品技术说明》,文件中明确了重要类、关键类产品的各类技术界定标准。

哪些产品或行业不在法规适用范围内

已受欧盟专项法规框架管控的产品品类,不在《欧盟网络弹性法案》(CRA)管辖范围内:

  • 医疗器械及体外诊断医疗器械(欧盟法规 (EU) 2017/745、(EU) 2017/746)
  • 机动车辆(欧盟法规 (EU) 2019/2144)
  • 经认证航空产品(欧盟法规 (EU) 2018/1139)
  • 船用设备(欧盟指令 2014/90/EU)
  • 同规格备用零部件(投放市场用于替换数字化产品内部同款组件、且按照相同技术规范生产的备件)
  • 专为国家安全研发的数字化组件(指专为国家安全、国防用途研发或改造的数字化产品,以及专门用于处理涉密信息的产品)
  • 纯软件即服务(SaaS)产品可能不在法规适用范围内,除非其属于远程数据处理解决方案。
  • 非商业化开源软件同样可豁免适用本法规。

请注意:所属行业不在豁免范围内。《欧盟网络弹性法案》(CRA)的核心逻辑是,即便产品受其他法规管辖,也未必能直接排除适用本法案。

制造商适用的《欧盟网络弹性法案》标准化背景说明

依据《欧盟网络弹性法案》,企业合规将依托一套标准化体系落地,该体系由通用横向标准,以及针对重要类、关键类产品的行业专项(纵向)标准共同构成。此类标准是企业证明产品符合《欧盟网络弹性法案》核心要求的关键依据。

因此,对于生产重要类、关键类产品的制造商而言,掌握法案配套标准化工作的推进进度尤为关键,在适用产品专项标准尚在制定阶段的情况下更是如此。标准完善过渡期内,制造商仍需全权承担满足法案核心要求的责任,这会直接影响企业的合规方案、技术文件编制以及合格评定路径选择。

如需查看现行标准化工作的最新汇总清单,请查阅我方《欧盟网络弹性法案》标准对应表;若需了解关键时限与落地实施节点相关背景信息,可参阅 CRA 时间线及实施进度板块。

违反法规是否会处以处罚?

会有处罚。法规明确界定的不合规情形包括以下几类:

  • 未满足法案核心强制性要求:最高可处以 1500 万欧元罚款,或全球年营业额 2.5% 的罚款(二者取金额较高者)。
  • 违反第 18 至 23 条、第 28 条、第 30 条第 1 至 4 款、第 31 条第 1 至 4 款、第 32 条第 1、2、3 款、第 33 条第 5 款,以及第 39、41、47、49、53 条所规定义务的其他不合规情形,将处以最高 1000 万欧元的行政罚款,或以上一财年全球年度总营业额 2% 计罚,二者取金额较高者执行。
  • 应监管要求向公告机构及市场监督管理部门提供错误、不完整或具有误导性信息的,将处以最高 500 万欧元行政罚款;若违法主体为企业,则最高可处其上一财年全球年度总营业额 1% 的罚款,二者取金额较高者执行。

合规筹备最佳实践

开展欧盟网络弹性法案(CRA)合规工作的最佳实践。

  • 参与欧盟网络弹性法案(CRA)相关培训与专题研讨会
  • 核验并评估自身产品是否属于 “带数字化组件产品(PDE)”。若属于该类产品,需判定其风险等级(普通级、重要级或关键级),并选定适配自身产品品类、可采用的合格评定模式。填写我方《欧盟网络弹性法案合规就绪度问卷》,以便清晰掌握所需完成的合规事项。
  • 尽早开展文件编制与风险评估工作,需准备软件物料清单(SBOM)、技术文件及产品更新流程相关材料,内容包含:
    • 总体说明、设计用途、用户相关信息及操作指南
    • 风险评估  
    • 支持周期界定
    • 用于验证产品合规性的测试报告
  • 从产品设计初期至全生命周期,均将网络安全纳入考量:默认安全配置、最优加密机制、安全更新机制、漏洞处置流程以及安全事件上报机制。
  • 梳理并确认制造商、进口商、分销商(以及授权代表)各自需履行的合规义务。
  • 若产品被划定为重要级或关键级,或企业缺乏启动合格评定流程所需的资源与专业能力,应对接公告机构,或筹备第三方评定。
  • 妥善留存完整详细的技术文件与维护支持文档,保存期限不少于 10 年或产品全维护周期(以较长者为准)。

如需了解更多详情,欢迎访问我们的《网络弹性法案》合规专题中心。

How Applus+ Laboratories can help you?

我们提供下述服务,助力客户提前完成合规要求,从容应对合规截止期限:

  • 培训与专题研讨会:实操课程,帮助企业团队掌握欧盟《网络弹性法案》(CRA)相关合规要求及通用行业最佳实践。
  • CRA 合规就绪度评估与差距分析:对照《网络弹性法案》(CRA)要求排查合规缺口,并制定合规落地路线图。该服务推荐适用于产品受 CRA 法规约束的企业,尤其是产品属于普通风险等级、且在网络安全合规监管方面经验不足的企业。
  • CRA 合规预评估(模块 B+C / H):为产品完成欧盟《网络弹性法案》(CRA)下的合格评定做好产品与技术文件筹备工作。Applus+正推进公告机构资质认证与官方备案流程,本服务可协助制造商整理佐证材料、测试记录及技术文件,后续对接公告机构开展正式审核时可直接复用相关资料。
  • EUCC 认证 该认证将作为关键风险等级产品的合格评定依据。安普拉斯(Applus+)在通用准则(Common Criteria)评定体系方面拥有丰富实操经验。

《网络弹性法案》常见问题解答

纯软件即服务(SaaS)产品一般不在《网络弹性法案》直接管辖范围内。但如果某 SaaS 方案属于远程数据处理方案,且可直接对接本法规管控的含数字组件产品、或为其提供配套支撑,则该 SaaS 方案需部分遵循 CRA 要求。判定法规是否适用,取决于该 SaaS 的功能定位、部署模式,以及它与受监管产品之间的技术关联。

医疗器械与体外诊断医疗器械主要受欧盟专项行业法规约束,即欧盟法规(EU)2017/745(MDR 医疗器械法规)与(EU)2017/746(IVDR 体外诊断器械法规)。因此这类产品通常不在《网络弹性法案》直接适用范围。尽管如此,制造商仍需审慎评估:与医疗器械配套的独立软件组件或数字模块,是否会触发其他欧盟通用法规项下的网络安全合规义务。

机动车主要受欧盟法规(EU)2019/2144 及联合国欧洲经济委员会(UNECE)配套网络安全规范管辖,上述法规适用优先级通常高于《网络弹性法案》。但部分未被车辆专项法规完整覆盖的数字零部件、后市场改装产品或独立软件,仍可能落入 CRA 管控范畴。因此需按产品个案逐一评估法规适用性。

大量物联网设备均受《网络弹性法案》管控,这类设备属于搭载数字组件、可连接网络或其他设备的产品。根据预期用途与风险等级,物联网产品会被划分为普通类、重要类、关键类三个等级,产品等级决定对应的符合性评估路径与所需安全保障等级。

CRA 增设了开源维护方主体类别,指代商业化运营或提供开源产品技术支持的经营主体。该类主体有义务落实网络安全管理制度、配合监管机构调查、配合漏洞负责任披露流程。非商业性质的开源项目可获得豁免。

无线电设备指令(RED)与《网络弹性法案》均针对联网产品提出网络安全要求,但管控范围、实施时间存在差异。
RED 的网络安全条款仅适用于特定品类无线电设备,核心目标为保护通信网络、个人数据、防范欺诈行为。
《网络弹性法案》则搭建覆盖所有含数字组件产品的通用、跨行业网络安全合规框架。
2027 年 12 月前,无线电设备制造商优先遵循 RED 项下网络安全条款;自 2027 年 12 月起,落入 CRA 管控范围的产品,除满足 RED 相关要求外,还需在全生命周期内符合 CRA 强制性基础网络安全要求。
实操层面,联网无线电设备厂商需梳理 RED 与 CRA 合规要求的衔接规则,统一技术文档、风险评估、符合性检测流程,避免 CRA 全面落地后重复开展合规工作。

《网络弹性法案》为投放欧盟市场的所有含数字组件产品设定强制性网络安全合规要求。依据《欧盟网络安全法案》设立的欧盟网络安全认证体系(EUCC)、通用准则(Common Criteria)认证,是通过标准化评估体系证明产品安全保障能力的认证机制。
取得 EUCC 或通用准则认证,不代表自动满足 CRA 合规要求。但根据产品品类与选用的符合性评估路径,上述认证产出的评估材料可复用、对齐,辅助完成 CRA 合规,高安全等级产品尤为适用。
欧盟网络安全局(ENISA)正在开展试点项目,研究 EUCC 与 CRA 的协同机制,填补两类体系之间的合规缺口。

《网络弹性法案》聚焦投放欧盟市场的数字产品网络安全要求,规定产品全生命周期的设计、开发、文档留存、运维安全标准。
NIS2 指令面向机构主体,针对关键、重要经营主体设立网络安全风险管理、安全事件上报义务。
企业可能同时受两套法规约束,但二者管控维度互补:CRA 管控产品端网络安全,NIS2 管控企业组织层面的网络安全治理与运营。满足 NIS2 合规不能豁免 CRA 合规义务。

《网络弹性法案》管控上市数字产品的网络安全要求,约束对象为产品制造商,核心是产品合规。
DORA(数字运营弹性法案)仅适用于金融行业,针对机构主体提出 ICT 风险管理、业务运营韧性、安全事件上报要求。
两项法规均旨在提升网络弹性,但适用主体、合规义务完全区分。金融机构采购使用的产品需满足 CRA,机构自身则需单独完成 DORA 合规。

《网络弹性法案》与欧盟 AI 法案并行适用,管控不同类型风险。
CRA 针对全部数字产品设置强制网络安全底线;欧盟 AI 法案依据人工智能系统风险等级实施管控,覆盖安全、透明度、数据治理、人工监督等维度。
内置 AI 功能的产品需同时满足两项法规:CRA 管控产品基础网络安全,AI 法案管控人工智能特有风险,制造商需分别评估、落实两套法规对应的合规义务。

通过 ISO/IEC 27001 认证不代表满足 CRA 要求:CRA 聚焦产品端强制性网络安全规范,而非企业组织级信息安全管理。
但企业现有符合 ISO 标准的管理流程可支撑部分 CRA 合规要求,助力完成 H 模块等基于质量管理体系的符合性评估路径。

ISO 9001 聚焦质量管理体系与流程管控,并未直接规定网络安全条款。但成熟的 ISO 9001 体系可提供标准化框架,支撑文档管控、变更管理、产品全生命周期流程搭建,为 H 模块等 CRA 符合性评估路径落地提供基础。

Applus+ uses first-party and third-party cookies for analytical purposes and to show you personalized advertising based on a profile drawn up based on your browsing habits (eg. visited websites). Click HERE for more information. You can accept all cookies by pressing the "Accept" button or configure or reject their use by clicking here.

Cookie settings panel