欧盟CRA认证全解析：一文读懂《网络弹性法案》的范围、要求与合规路径

随着欧盟《网络弹性法案》（Cyber Resilience Act，简称 CRA）正式进入落地阶段，越来越多出口欧盟的软件、硬件和联网产品厂商开始收到客户、渠道商或招投标文件中的新要求：

产品是否满足 CRA？
是否具备 CE 标志所需的网络安全合规材料？
是否能提供 SBOM、漏洞处理流程、安全更新机制和符合性声明？

在企业实际沟通中，很多人会把这类要求统称为“CRA认证”。更准确地说，CRA 本身是一部欧盟法规，企业需要完成的是 CRA 合规和符合性评估，并在满足要求后通过 CE 标志体现产品符合欧盟网络安全要求。

对于计划进入欧盟市场的产品厂商来说，CRA 影响的不只是测试环节，而是产品从设计、研发、交付、维护到漏洞响应的全生命周期管理。

一、CRA《网络弹性法案》是什么？

CRA，全称 Cyber Resilience Act，中文通常称为欧盟《网络弹性法案》。

它是欧盟针对“带有数字元素的产品”（Products with Digital Elements）提出的横向网络安全法规，目标是提高欧盟市场上软硬件产品的网络安全水平，减少产品上市时存在的漏洞，并要求制造商在产品生命周期内持续处理安全风险。

简单理解，CRA 主要解决三个问题：

第一，产品投放欧盟市场时，应具备基本网络安全能力。
第二，制造商不能只关注销售前合规，还要在支持期内持续处理漏洞和安全更新。
第三，产品符合 CRA 后，需要通过技术文档、符合性评估、欧盟符合性声明和 CE 标志进行证明。

这意味着，CRA 不是单独面向某一个行业的安全标准，而是覆盖大量硬件、软件、联网设备、嵌入式系统和数字产品的通用法规。

对企业而言，CRA 的变化在于：网络安全要求将从“客户额外要求”逐渐变成“欧盟市场准入要求”的一部分。

二、哪些产品会被 CRA 覆盖？

CRA 的适用对象是“带有数字元素的产品”。

这个范围非常广。只要产品包含软件、固件、联网能力、数据处理能力，或者能够直接或间接连接到其他设备、网络或服务，并进入欧盟市场，就需要判断是否适用 CRA。

常见受影响产品包括：

物联网设备；
工业网关；
路由器、交换机、防火墙；
操作系统、数据库、中间件；
浏览器、密码管理器、VPN 产品；
网络管理系统、SIEM 系统；
智能家居设备；
智能穿戴设备；
车载或工业嵌入式软件；
远程管理软件；
安全芯片、安全模块和智能卡；
与硬件产品配套的软件、固件或移动端应用。

同时，CRA 也关注远程数据处理解决方案。例如某些产品的关键功能依赖云端服务、远程平台或后端处理能力，那么这部分也可能被纳入产品合规分析。

因此，企业不能只从“我的产品是不是硬件”来判断 CRA。很多纯软件产品、嵌入式固件产品、设备管理平台和安全软件，同样可能进入 CRA 范围。

三、CRA 的关键时间节点

CRA 的落地有明确时间安排。

2024 年 12 月 10 日，CRA 正式生效。

2026 年 9 月 11 日，与主动利用漏洞和严重安全事件相关的报告义务开始适用。也就是说，制造商需要建立漏洞发现、判断、上报和响应机制，不能等到全面适用后再准备。

2027 年 12 月 11 日，CRA 主要义务全面适用。届时，相关产品进入欧盟市场时，需要满足 CRA 的基本网络安全要求，并完成相应符合性评估、技术文档、欧盟符合性声明和 CE 标志工作。

对于产品研发周期较长的企业来说，2027 年并不算远。尤其是硬件设备、工业产品、基础软件和安全产品，往往涉及版本冻结、架构调整、漏洞管理体系建设和文档补齐，提前启动差距分析更现实。

四、CRA 如何对产品进行分类？

CRA 并不是把所有产品都放在同一个风险等级下，而是根据产品的重要性和网络安全风险，将产品大致分为几类。

1. 默认类产品

大多数带有数字元素的产品会落入默认类。

这类产品通常可以采用内部控制路径，也就是企业基于 CRA 要求完成产品安全设计、技术文档、风险分析、测试验证和符合性声明。

但默认类并不代表要求低。企业仍然需要满足 CRA 附件 I 的基本网络安全要求，并保留完整技术文档。

2. 重要 I 类产品

重要 I 类产品列在 CRA 附件 III 中，通常是对网络安全具有较高影响的软件、系统或安全组件。

例如：

身份管理系统；
权限访问管理软件；
独立和嵌入式浏览器；
密码管理器；
搜索、移除或隔离恶意软件的软件；
具有 VPN 功能的产品；
网络管理系统；
SIEM 系统；
引导管理器；
PKI 和数字证书签发软件；
操作系统；
路由器、交换机、调制解调器等。

重要 I 类产品的符合性评估路径要重点看是否完整采用协调标准、通用规范，或者至少达到“实质性”保证水平的欧洲网络安全认证方案。如果不能完整适用，则需要进入模块 B+C 或模块 H 等第三方符合性评估路径。

3. 重要 II 类产品

重要 II 类产品风险更高，通常包括对网络安全影响更大的基础设施类、安全防护类或核心组件类产品。

例如：

Hypervisor；
容器运行时系统；
防火墙；
入侵检测和入侵防御系统；
部分具备安全相关功能的微处理器或微控制器等。

这类产品通常需要更严格的符合性评估程序，企业需要更早规划评估路径和技术证据。

4. 关键类产品

关键类产品列在 CRA 附件 IV 中，通常是对整个网络安全生态影响更高的产品类型。

这类产品未来可能与欧洲网络安全认证方案深度衔接，例如 EUCC 等认证方案。对安全芯片、安全元件、智能卡、智能电表网关等产品来说，需要重点关注关键类产品的后续实施规则和认证方案要求。

五、CRA 的基本网络安全要求有哪些？

CRA 的核心要求集中在附件 I。

附件 I 可以理解为 CRA 合规的技术底座，主要包括两大部分：产品安全属性要求和漏洞处理要求。

1. 产品安全属性要求

产品在设计、开发和生产阶段，需要具备适当网络安全能力。常见要求包括：

产品上市时不应包含已知可利用漏洞；
默认配置应尽可能安全；
产品应具备适当的访问控制机制；
产品应保护数据机密性、完整性和可用性；
产品应减少攻击面；
产品应限制安全事件影响范围；
产品应支持安全更新；
产品应具备日志、监测或安全事件记录能力；
产品应保护存储、传输或处理的数据；
产品应允许用户安全删除数据或配置。

这些要求对企业研发提出了更高要求。产品安全不再只是上线前做一次渗透测试，而是要在架构设计、功能实现、默认配置、更新机制和用户文档中体现。

2. 漏洞处理要求

CRA 对漏洞管理提出了明确要求。

制造商需要建立漏洞识别、接收、分析、修复和披露机制。实际合规中，企业通常需要准备：

漏洞处理流程；
协调漏洞披露机制；
安全更新发布流程；
漏洞修复记录；
用户通知机制；
安全公告机制；
SBOM 或软件物料清单；
第三方组件和开源依赖管理机制。

对软件产品来说，SBOM 是非常关键的一项材料。它可以帮助企业识别产品中使用了哪些组件、依赖和开源库，也便于在组件漏洞爆发时快速判断影响范围。

六、制造商、进口商和分销商分别承担什么责任？

CRA 不只约束制造商，也对进口商和分销商提出要求。

1. 制造商责任

制造商是 CRA 合规的核心责任主体。

制造商需要确保产品在设计、开发、生产和维护阶段满足基本网络安全要求，并完成符合性评估、技术文档、欧盟符合性声明、CE 标志和支持期内的漏洞处理。

制造商还需要明确产品支持期。支持期内，制造商需要持续提供漏洞处理和安全更新。一般情况下，支持期至少应达到五年；如果产品预期使用时间更短，则可以与预期使用时间相对应。

2. 进口商责任

进口商需要确认制造商已经履行 CRA 义务，例如产品是否具备 CE 标志、是否有欧盟符合性声明、是否提供必要说明和安全信息。

如果进口商认为产品不符合 CRA 要求，不应将产品投放欧盟市场。

3. 分销商责任

分销商需要在销售前核查产品是否具备 CE 标志、是否附带必要文件、制造商和进口商信息是否完整。

对于中国出口企业来说，如果产品通过欧盟代理商、进口商或渠道商进入市场，对方通常会提前要求提供 CRA 合规材料，这也是越来越多企业在客户审核阶段开始关注 CRA 的原因。

七、CRA 符合性评估路径怎么判断？

CRA 合规的关键并不是简单选择一个“认证项目”，而是根据产品类别、风险等级和标准适用情况确定符合性评估路径。

常见路径可以概括为三类：

1. 内部控制路径

默认类产品通常可以采用内部控制路径。

企业需要自行完成风险分析、安全设计、测试验证、技术文档和符合性声明，并保证产品持续符合 CRA 要求。

这一路径并不意味着不需要准备材料。相反，企业需要有足够完整的证据证明产品满足附件 I 要求。

2. 模块 B + 模块 C

对于重要 I 类产品，如果企业未完整应用协调标准、通用规范，或至少 Substantial 等级的欧洲网络安全认证方案，则可能需要进入模块 B+C。

模块 B 是欧盟型式检验，重点审查产品型式、技术文档和安全要求符合性。
模块 C 是基于内部生产控制的符合欧盟型式，重点保证后续生产或发布的产品持续符合已审查型式。

这一路径适合产品边界较清晰、版本控制较稳定、可以围绕特定产品型式进行评估的场景。

3. 模块 H

模块 H 是全面质量保证路径。

它更关注制造商是否建立了能够持续保证产品符合 CRA 要求的质量保证体系，包括研发流程、测试流程、漏洞响应、版本发布、安全更新、组件管理和市场后监管。

对于持续迭代的软件产品、网络安全产品、云边协同产品和生命周期较长的工业产品，模块 H 通常更贴近实际管理要求。

八、CRA 技术文档需要准备什么？

技术文档是 CRA 合规的核心材料之一。

企业不能只准备一份产品说明书或测试报告。技术文档需要能够证明产品如何满足 CRA 基本网络安全要求。

常见材料包括：

产品描述与适用范围；
产品分类判断说明；
产品架构设计说明；
软硬件组成说明；
产品安全功能说明；
网络安全风险分析；
适用标准和要求映射；
安全设计与默认配置说明；
身份认证和访问控制说明；
数据保护和通信安全说明；
漏洞处理流程；
安全更新机制；
SBOM 和组件清单；
第三方组件管理说明；
测试验证材料；
用户文档和管理员文档；
支持期说明；
欧盟符合性声明；
CE 标志相关材料。

对于重要类产品，还需要根据产品类别进一步补充专项材料。例如 VPN 产品需要说明加密隧道、密钥管理和远程访问控制；SIEM 系统需要说明日志完整性、事件关联和告警追踪；网络管理系统需要说明配置下发、设备管理和权限控制；PKI 系统需要说明证书签发、密钥保护和撤销机制。

九、协调标准在 CRA 中有什么作用？

CRA 合规离不开标准体系。

欧盟委员会已经发布 M/606 标准化请求，要求 CEN、CENELEC 和 ETSI 制定支持 CRA 的协调标准。该请求包含 41 项标准，分为横向标准和纵向标准。

1. 横向标准：EN 40000 系列

EN 40000 系列是 CRA 横向标准的核心方向，面向所有带有数字元素的产品，覆盖通用安全要求。

它通常涉及：

网络弹性原则；
通用安全要求；
漏洞处理；
安全更新；
技术文档；
用户文档；
供应链组件管理；
产品生命周期安全。

横向标准解决的是所有 CRA 产品都需要满足的共性安全要求。

2. 纵向标准：产品特定标准

纵向标准面向具体产品类别，例如：

浏览器；
密码管理器；
VPN 产品；
网络管理系统；
SIEM 系统；
引导管理器；
PKI 和数字证书签发软件；
操作系统；
路由器和交换机；
防火墙和 IDS/IPS；
智能家居产品；
智能卡和安全元件。

纵向标准的作用，是把 CRA 基本要求转化为某类产品的具体安全要求。

需要注意的是，很多 CRA 协调标准仍处于制定阶段。企业可以根据 M/606 和公开工作计划提前做差距分析，但最终是否形成符合性推定，应以标准正式发布并被《欧盟官方公报》引用为准。

十、CRA 对中国企业的实际影响

CRA 对中国软硬件企业的影响主要体现在三个方面。

1. 欧盟客户审核更前置

过去客户可能只关注功能、价格和交付周期。CRA 落地后，欧盟客户、进口商和渠道商会更早要求企业提供网络安全合规材料。

例如：

产品是否属于 CRA 范围；
属于默认类、重要类还是关键类；
是否完成风险分析；
是否有 SBOM；
是否有漏洞处理流程；
是否能提供安全更新；
是否具备符合性声明和 CE 合规材料。

2. 产品研发需要提前嵌入安全要求

CRA 要求产品在设计阶段就考虑网络安全，而不是上市前临时补测试。

这意味着企业需要在研发阶段同步规划：

安全需求；
安全架构；
威胁建模；
默认安全配置；
组件管理；
安全测试；
版本管理；
漏洞响应。

3. 合规材料会成为出口竞争力的一部分

当欧盟客户同时面对多个供应商时，能够更早提供 CRA 合规说明、技术文档框架、漏洞管理机制和标准映射材料的企业，会更容易通过供应商审核。

对于工业设备、网络安全产品、基础软件、智能硬件和嵌入式产品厂商来说，CRA 可能会成为未来欧盟项目沟通中的基础门槛。

十一、企业应该如何准备 CRA 合规？

企业可以按以下步骤推进 CRA 合规准备。

第一步，确认产品是否属于 CRA 范围。
重点看产品是否包含软件、固件、联网能力、远程数据处理能力，是否进入欧盟市场。

第二步，完成产品分类。
判断产品属于默认类、重要 I 类、重要 II 类还是关键类。

第三步，开展网络安全风险分析。
梳理产品攻击面、资产、威胁、漏洞、组件依赖和安全控制措施。

第四步，建立技术文档体系。
围绕 CRA 附件 I 要求准备产品架构、安全功能、测试验证、漏洞处理和用户文档。

第五步，选择符合性评估路径。
根据产品类别、协调标准适用情况和客户要求，判断采用内部控制、模块 B+C、模块 H 或其他认证方案。

第六步，建立漏洞处理和安全更新机制。
这部分是 CRA 长期合规的核心，不能只在认证阶段临时补材料。

第七步，准备欧盟符合性声明和 CE 标志相关材料。
当产品完成相应符合性评估后，企业需要形成欧盟符合性声明，并按要求完成 CE 标志工作。

结语：CRA 合规正在从“客户要求”变成“欧盟出海基础能力”

CRA《网络弹性法案》是欧盟数字产品网络安全监管的重要变化。它覆盖范围广，要求链条长，涉及产品分类、风险分析、标准映射、技术文档、漏洞处理、符合性评估、CE 标志和市场后持续合规。

对企业来说，CRA 合规的重点不是单独完成某项测试，而是建立一套能够证明产品安全能力的证据体系，并在产品生命周期内持续维护。

浙江望安科技有限公司围绕 CRA《网络弹性法案》提供一站式安全合规服务，覆盖范围界定与产品分类、符合性评估路径选择、网络安全风险与安全分析、技术文档编制、漏洞处理与更新管理、符合性评估执行、CE 标志与符合性声明、市场后监管与持续合规等环节。

在实际项目中，企业通常只需配合提供产品相关资料，具体合规路径梳理、材料编制、评估对接和整改推进可由专业团队协同完成，从而降低企业在欧盟网络安全合规中的理解成本和执行压力。

对于正在规划欧盟市场、已经收到客户 CRA 要求，或希望提前建立产品网络安全合规能力的企业，建议尽早完成产品分类和差距分析，为后续评估和市场准入预留充分时间。