随着欧盟《网络弹性法案》Cyber Resilience Act简称 CRA正式进入落地阶段越来越多出口欧盟的软件、硬件和联网产品厂商开始收到客户、渠道商或招投标文件中的新要求产品是否满足 CRA是否具备 CE 标志所需的网络安全合规材料是否能提供 SBOM、漏洞处理流程、安全更新机制和符合性声明在企业实际沟通中很多人会把这类要求统称为“CRA认证”。更准确地说CRA 本身是一部欧盟法规企业需要完成的是 CRA 合规和符合性评估并在满足要求后通过 CE 标志体现产品符合欧盟网络安全要求。对于计划进入欧盟市场的产品厂商来说CRA 影响的不只是测试环节而是产品从设计、研发、交付、维护到漏洞响应的全生命周期管理。一、CRA《网络弹性法案》是什么CRA全称 Cyber Resilience Act中文通常称为欧盟《网络弹性法案》。它是欧盟针对“带有数字元素的产品”Products with Digital Elements提出的横向网络安全法规目标是提高欧盟市场上软硬件产品的网络安全水平减少产品上市时存在的漏洞并要求制造商在产品生命周期内持续处理安全风险。简单理解CRA 主要解决三个问题第一产品投放欧盟市场时应具备基本网络安全能力。第二制造商不能只关注销售前合规还要在支持期内持续处理漏洞和安全更新。第三产品符合 CRA 后需要通过技术文档、符合性评估、欧盟符合性声明和 CE 标志进行证明。这意味着CRA 不是单独面向某一个行业的安全标准而是覆盖大量硬件、软件、联网设备、嵌入式系统和数字产品的通用法规。对企业而言CRA 的变化在于网络安全要求将从“客户额外要求”逐渐变成“欧盟市场准入要求”的一部分。二、哪些产品会被 CRA 覆盖CRA 的适用对象是“带有数字元素的产品”。这个范围非常广。只要产品包含软件、固件、联网能力、数据处理能力或者能够直接或间接连接到其他设备、网络或服务并进入欧盟市场就需要判断是否适用 CRA。常见受影响产品包括物联网设备工业网关路由器、交换机、防火墙操作系统、数据库、中间件浏览器、密码管理器、VPN 产品网络管理系统、SIEM 系统智能家居设备智能穿戴设备车载或工业嵌入式软件远程管理软件安全芯片、安全模块和智能卡与硬件产品配套的软件、固件或移动端应用。同时CRA 也关注远程数据处理解决方案。例如某些产品的关键功能依赖云端服务、远程平台或后端处理能力那么这部分也可能被纳入产品合规分析。因此企业不能只从“我的产品是不是硬件”来判断 CRA。很多纯软件产品、嵌入式固件产品、设备管理平台和安全软件同样可能进入 CRA 范围。三、CRA 的关键时间节点CRA 的落地有明确时间安排。2024 年 12 月 10 日CRA 正式生效。2026 年 9 月 11 日与主动利用漏洞和严重安全事件相关的报告义务开始适用。也就是说制造商需要建立漏洞发现、判断、上报和响应机制不能等到全面适用后再准备。2027 年 12 月 11 日CRA 主要义务全面适用。届时相关产品进入欧盟市场时需要满足 CRA 的基本网络安全要求并完成相应符合性评估、技术文档、欧盟符合性声明和 CE 标志工作。对于产品研发周期较长的企业来说2027 年并不算远。尤其是硬件设备、工业产品、基础软件和安全产品往往涉及版本冻结、架构调整、漏洞管理体系建设和文档补齐提前启动差距分析更现实。四、CRA 如何对产品进行分类CRA 并不是把所有产品都放在同一个风险等级下而是根据产品的重要性和网络安全风险将产品大致分为几类。1. 默认类产品大多数带有数字元素的产品会落入默认类。这类产品通常可以采用内部控制路径也就是企业基于 CRA 要求完成产品安全设计、技术文档、风险分析、测试验证和符合性声明。但默认类并不代表要求低。企业仍然需要满足 CRA 附件 I 的基本网络安全要求并保留完整技术文档。2. 重要 I 类产品重要 I 类产品列在 CRA 附件 III 中通常是对网络安全具有较高影响的软件、系统或安全组件。例如身份管理系统权限访问管理软件独立和嵌入式浏览器密码管理器搜索、移除或隔离恶意软件的软件具有 VPN 功能的产品网络管理系统SIEM 系统引导管理器PKI 和数字证书签发软件操作系统路由器、交换机、调制解调器等。重要 I 类产品的符合性评估路径要重点看是否完整采用协调标准、通用规范或者至少达到“实质性”保证水平的欧洲网络安全认证方案。如果不能完整适用则需要进入模块 BC 或模块 H 等第三方符合性评估路径。3. 重要 II 类产品重要 II 类产品风险更高通常包括对网络安全影响更大的基础设施类、安全防护类或核心组件类产品。例如Hypervisor容器运行时系统防火墙入侵检测和入侵防御系统部分具备安全相关功能的微处理器或微控制器等。这类产品通常需要更严格的符合性评估程序企业需要更早规划评估路径和技术证据。4. 关键类产品关键类产品列在 CRA 附件 IV 中通常是对整个网络安全生态影响更高的产品类型。这类产品未来可能与欧洲网络安全认证方案深度衔接例如 EUCC 等认证方案。对安全芯片、安全元件、智能卡、智能电表网关等产品来说需要重点关注关键类产品的后续实施规则和认证方案要求。五、CRA 的基本网络安全要求有哪些CRA 的核心要求集中在附件 I。附件 I 可以理解为 CRA 合规的技术底座主要包括两大部分产品安全属性要求和漏洞处理要求。1. 产品安全属性要求产品在设计、开发和生产阶段需要具备适当网络安全能力。常见要求包括产品上市时不应包含已知可利用漏洞默认配置应尽可能安全产品应具备适当的访问控制机制产品应保护数据机密性、完整性和可用性产品应减少攻击面产品应限制安全事件影响范围产品应支持安全更新产品应具备日志、监测或安全事件记录能力产品应保护存储、传输或处理的数据产品应允许用户安全删除数据或配置。这些要求对企业研发提出了更高要求。产品安全不再只是上线前做一次渗透测试而是要在架构设计、功能实现、默认配置、更新机制和用户文档中体现。2. 漏洞处理要求CRA 对漏洞管理提出了明确要求。制造商需要建立漏洞识别、接收、分析、修复和披露机制。实际合规中企业通常需要准备漏洞处理流程协调漏洞披露机制安全更新发布流程漏洞修复记录用户通知机制安全公告机制SBOM 或软件物料清单第三方组件和开源依赖管理机制。对软件产品来说SBOM 是非常关键的一项材料。它可以帮助企业识别产品中使用了哪些组件、依赖和开源库也便于在组件漏洞爆发时快速判断影响范围。六、制造商、进口商和分销商分别承担什么责任CRA 不只约束制造商也对进口商和分销商提出要求。1. 制造商责任制造商是 CRA 合规的核心责任主体。制造商需要确保产品在设计、开发、生产和维护阶段满足基本网络安全要求并完成符合性评估、技术文档、欧盟符合性声明、CE 标志和支持期内的漏洞处理。制造商还需要明确产品支持期。支持期内制造商需要持续提供漏洞处理和安全更新。一般情况下支持期至少应达到五年如果产品预期使用时间更短则可以与预期使用时间相对应。2. 进口商责任进口商需要确认制造商已经履行 CRA 义务例如产品是否具备 CE 标志、是否有欧盟符合性声明、是否提供必要说明和安全信息。如果进口商认为产品不符合 CRA 要求不应将产品投放欧盟市场。3. 分销商责任分销商需要在销售前核查产品是否具备 CE 标志、是否附带必要文件、制造商和进口商信息是否完整。对于中国出口企业来说如果产品通过欧盟代理商、进口商或渠道商进入市场对方通常会提前要求提供 CRA 合规材料这也是越来越多企业在客户审核阶段开始关注 CRA 的原因。七、CRA 符合性评估路径怎么判断CRA 合规的关键并不是简单选择一个“认证项目”而是根据产品类别、风险等级和标准适用情况确定符合性评估路径。常见路径可以概括为三类1. 内部控制路径默认类产品通常可以采用内部控制路径。企业需要自行完成风险分析、安全设计、测试验证、技术文档和符合性声明并保证产品持续符合 CRA 要求。这一路径并不意味着不需要准备材料。相反企业需要有足够完整的证据证明产品满足附件 I 要求。2. 模块 B 模块 C对于重要 I 类产品如果企业未完整应用协调标准、通用规范或至少 Substantial 等级的欧洲网络安全认证方案则可能需要进入模块 BC。模块 B 是欧盟型式检验重点审查产品型式、技术文档和安全要求符合性。模块 C 是基于内部生产控制的符合欧盟型式重点保证后续生产或发布的产品持续符合已审查型式。这一路径适合产品边界较清晰、版本控制较稳定、可以围绕特定产品型式进行评估的场景。3. 模块 H模块 H 是全面质量保证路径。它更关注制造商是否建立了能够持续保证产品符合 CRA 要求的质量保证体系包括研发流程、测试流程、漏洞响应、版本发布、安全更新、组件管理和市场后监管。对于持续迭代的软件产品、网络安全产品、云边协同产品和生命周期较长的工业产品模块 H 通常更贴近实际管理要求。八、CRA 技术文档需要准备什么技术文档是 CRA 合规的核心材料之一。企业不能只准备一份产品说明书或测试报告。技术文档需要能够证明产品如何满足 CRA 基本网络安全要求。常见材料包括产品描述与适用范围产品分类判断说明产品架构设计说明软硬件组成说明产品安全功能说明网络安全风险分析适用标准和要求映射安全设计与默认配置说明身份认证和访问控制说明数据保护和通信安全说明漏洞处理流程安全更新机制SBOM 和组件清单第三方组件管理说明测试验证材料用户文档和管理员文档支持期说明欧盟符合性声明CE 标志相关材料。对于重要类产品还需要根据产品类别进一步补充专项材料。例如 VPN 产品需要说明加密隧道、密钥管理和远程访问控制SIEM 系统需要说明日志完整性、事件关联和告警追踪网络管理系统需要说明配置下发、设备管理和权限控制PKI 系统需要说明证书签发、密钥保护和撤销机制。九、协调标准在 CRA 中有什么作用CRA 合规离不开标准体系。欧盟委员会已经发布 M/606 标准化请求要求 CEN、CENELEC 和 ETSI 制定支持 CRA 的协调标准。该请求包含 41 项标准分为横向标准和纵向标准。1. 横向标准EN 40000 系列EN 40000 系列是 CRA 横向标准的核心方向面向所有带有数字元素的产品覆盖通用安全要求。它通常涉及网络弹性原则通用安全要求漏洞处理安全更新技术文档用户文档供应链组件管理产品生命周期安全。横向标准解决的是所有 CRA 产品都需要满足的共性安全要求。2. 纵向标准产品特定标准纵向标准面向具体产品类别例如浏览器密码管理器VPN 产品网络管理系统SIEM 系统引导管理器PKI 和数字证书签发软件操作系统路由器和交换机防火墙和 IDS/IPS智能家居产品智能卡和安全元件。纵向标准的作用是把 CRA 基本要求转化为某类产品的具体安全要求。需要注意的是很多 CRA 协调标准仍处于制定阶段。企业可以根据 M/606 和公开工作计划提前做差距分析但最终是否形成符合性推定应以标准正式发布并被《欧盟官方公报》引用为准。十、CRA 对中国企业的实际影响CRA 对中国软硬件企业的影响主要体现在三个方面。1. 欧盟客户审核更前置过去客户可能只关注功能、价格和交付周期。CRA 落地后欧盟客户、进口商和渠道商会更早要求企业提供网络安全合规材料。例如产品是否属于 CRA 范围属于默认类、重要类还是关键类是否完成风险分析是否有 SBOM是否有漏洞处理流程是否能提供安全更新是否具备符合性声明和 CE 合规材料。2. 产品研发需要提前嵌入安全要求CRA 要求产品在设计阶段就考虑网络安全而不是上市前临时补测试。这意味着企业需要在研发阶段同步规划安全需求安全架构威胁建模默认安全配置组件管理安全测试版本管理漏洞响应。3. 合规材料会成为出口竞争力的一部分当欧盟客户同时面对多个供应商时能够更早提供 CRA 合规说明、技术文档框架、漏洞管理机制和标准映射材料的企业会更容易通过供应商审核。对于工业设备、网络安全产品、基础软件、智能硬件和嵌入式产品厂商来说CRA 可能会成为未来欧盟项目沟通中的基础门槛。十一、企业应该如何准备 CRA 合规企业可以按以下步骤推进 CRA 合规准备。第一步确认产品是否属于 CRA 范围。重点看产品是否包含软件、固件、联网能力、远程数据处理能力是否进入欧盟市场。第二步完成产品分类。判断产品属于默认类、重要 I 类、重要 II 类还是关键类。第三步开展网络安全风险分析。梳理产品攻击面、资产、威胁、漏洞、组件依赖和安全控制措施。第四步建立技术文档体系。围绕 CRA 附件 I 要求准备产品架构、安全功能、测试验证、漏洞处理和用户文档。第五步选择符合性评估路径。根据产品类别、协调标准适用情况和客户要求判断采用内部控制、模块 BC、模块 H 或其他认证方案。第六步建立漏洞处理和安全更新机制。这部分是 CRA 长期合规的核心不能只在认证阶段临时补材料。第七步准备欧盟符合性声明和 CE 标志相关材料。当产品完成相应符合性评估后企业需要形成欧盟符合性声明并按要求完成 CE 标志工作。结语CRA 合规正在从“客户要求”变成“欧盟出海基础能力”CRA《网络弹性法案》是欧盟数字产品网络安全监管的重要变化。它覆盖范围广要求链条长涉及产品分类、风险分析、标准映射、技术文档、漏洞处理、符合性评估、CE 标志和市场后持续合规。对企业来说CRA 合规的重点不是单独完成某项测试而是建立一套能够证明产品安全能力的证据体系并在产品生命周期内持续维护。浙江望安科技有限公司围绕 CRA《网络弹性法案》提供一站式安全合规服务覆盖范围界定与产品分类、符合性评估路径选择、网络安全风险与安全分析、技术文档编制、漏洞处理与更新管理、符合性评估执行、CE 标志与符合性声明、市场后监管与持续合规等环节。在实际项目中企业通常只需配合提供产品相关资料具体合规路径梳理、材料编制、评估对接和整改推进可由专业团队协同完成从而降低企业在欧盟网络安全合规中的理解成本和执行压力。对于正在规划欧盟市场、已经收到客户 CRA 要求或希望提前建立产品网络安全合规能力的企业建议尽早完成产品分类和差距分析为后续评估和市场准入预留充分时间。