当前位置: 首页 > news >正文

CRA网络弹性法案解读:欧盟数字产品网络安全合规框架与产品分类

一、法规概述

欧盟《网络弹性法案》(Cyber Resilience Act, CRA),编号 Regulation (EU) 2024/2847,于2024年12月10日正式生效,是欧盟首部针对含数字元素产品的网络安全横向立法。CRA的核心目标是要求所有在欧盟市场销售的联网数字产品从设计阶段即具备安全能力,并在产品全生命周期内持续维护网络安全。

1.1 与现有法规的关系

CRA并非孤立存在,而是欧盟网络安全法规体系的重要组成部分:

法规管控重点与CRA的关系
RED 2014/53/EU无线电设备的网络安全(3.3(d)(e)(f))CRA对含数字元素产品做横向补充,无线设备同时受两者管控
GDPR个人数据保护CRA关注产品安全属性,GDPR关注数据处理合法性,两者互补
NIS2关键基础设施运营者安全CRA针对产品本身,NIS2针对运营实体
AI Act人工智能系统AI产品若含数字元素,须同时满足CRA网络安全要求

CRA第56条规定:当产品同时落入CRA和其他欧盟法规(如RED)的管控范围时,相关法规的基本要求可合并满足,避免重复评估。

二、适用范围

CRA适用于所有含数字元素的产品(products with digital elements),即任何能够直接或间接连接网络并具备数据处理能力的产品。

2.1 典型产品类别

类别产品示例
消费类物联网智能家居设备、可穿戴设备、智能玩具
网络基础设施路由器、交换机、防火墙、VPN设备
软件产品操作系统、中间件、应用软件、浏览器
工业系统PLC、SCADA系统、工业IoT设备
安全产品密码管理器、SIEM系统、PKI软件
硬件组件微处理器、微控制器、FPGA、ASIC

2.2 豁免范围

以下产品不在CRA管控范围内(已有专门法规覆盖):

  • MDR法规范围内的医疗器械
  • IVDR法规范围内的体外诊断器械
  • 汽车法规(Regulation (EU) 2019/2144)范围内的车辆
  • 航空法规(Regulation (EU) 2018/1139)范围内的设备

三、产品分类体系

CRA依据产品核心功能的安全风险程度,将含数字元素产品分为四个层级。分类依据是核心功能原则——即产品存在的主要目的,而非附带功能或组件构成。

分类风险等级合格评定路径产品示例
默认产品普通自我评估(Module A)多数消费电子、商业硬件、应用软件
Class I 重要产品较高协调标准自我评估 或 公告机构评定操作系统、路由器、VPN、密码管理器
Class II 重要产品强制公告机构评定防火墙、IDS/IPS、Hypervisor、防篡改芯片
关键产品最高强制欧洲网络安全认证(EUCC)智能计量网关、智能卡/安全元件、安全盒硬件

四、合格评定路径

默认产品

Class I 重要产品

Class II 重要产品

关键产品

含数字元素产品

是否落入豁免范围?

不适用CRA

确定产品核心功能

产品分类

Module A 自我评估

是否全面应用
协调垂直标准?

强制公告机构评定
Module B+C / Module H

强制EUCC认证

Module A 自我评估

编制技术文档

签署EU符合性声明

加贴CE标志

4.1 评定模块说明

模块类型适用对象特点
Module A内部控制(自我评估)默认产品、符合协调标准的Class I制造商内部完成,无需公告机构
Module B+CEU型式检验 + 一致性Class I(无协调标准时)、Class II公告机构审查设计并颁发证书,制造商声明符合性
Module H全面质量保证Class I(无协调标准时)、Class II公告机构评估质量管理体系,适合产品线多的制造商
EUCC欧洲网络安全认证关键产品(首选)由认可测试实验室执行,基于Regulation (EU) 2019/881

五、实施时间表

时间节点里程碑事件
2024年12月10日CRA法案正式生效
2026年9月11日漏洞与事件报告义务开始适用
2027年12月11日大部分条款全面适用(含CE标志要求)

2027年12月11日前已合法投放市场的产品可继续销售,但须履行漏洞报告义务。

六、常见问题解答(FAQ)

Q1:CRA与RED指令的网络安全要求是什么关系?

CRA是针对所有含数字元素产品的横向立法,RED 3.3(d)(e)(f)是针对无线电设备的专项要求。当无线设备同时落入两者管控范围时,制造商可通过一次评估同时满足两套要求,CRA第56条明确避免了重复合规。

Q2:产品集成了第三方操作系统,整机产品是否自动升级为Class I?

不会。CRA采用核心功能原则:如果整机产品的核心功能不是操作系统(如智能手机的核心功能是移动通信),则即使集成了Class I类别的操作系统组件,整机产品分类不自动升级。但操作系统组件本身作为独立产品投放市场时须按Class I评定。

Q3:Module A自我评估是否需要任何第三方介入?

Module A由制造商内部完成全部评估,无需公告机构参与。但制造商仍须编制完整技术文档、签署EU符合性声明,并承担合规责任。对于Class I产品,仅当全面应用了协调垂直标准时才可使用Module A,否则须通过公告机构。

Q4:安全更新支持周期"至少5年"是否适用于所有产品?

"至少5年"是默认预期值。如果产品的预期使用期短于5年(如一次性传感器),更新支持周期可与产品预期使用期一致。制造商须在技术文档中明确说明支持周期,并向用户告知。

Q5:SBOM需要包含哪些信息?

CRA要求SBOM以常用、机器可读格式维护,涵盖产品中使用的所有软件组件及其版本信息。具体应包括组件名称、版本号、来源、已知漏洞信息等。SBOM须在整个产品生命周期内持续更新。

Q6:非欧盟制造商是否需要指定欧盟代表?

是的。CRA要求非欧盟制造商须在欧盟境内指定一名授权代表(经济运营商),负责法规合规相关事务,包括与监管机构沟通、保存技术文档等。


数据来源声明:本文依据欧盟Regulation (EU) 2024/2847(Cyber Resilience Act)官方文本、实施法规(EU) 2025/2392及欧盟委员会公开资料整理。相关法规如有更新,以官方发布版本为准。

http://www.jsqmd.com/news/1147410/

相关文章:

  • 低成本高精度IMU姿态追踪方案设计与实现
  • 如何快速掌握DriverStore Explorer:Windows驱动管理的终极指南
  • Openclaw本地部署实战:从环境搭建到PDF分析全链路打通
  • IIM-20670运动传感器与PIC32MZ微控制器的工业应用方案
  • iOS 26.5越狱终极指南:解锁iPhone隐藏功能的完整教程
  • IIM-20670与PIC18F45K80的高精度运动跟踪方案
  • Display Driver Uninstaller:显卡驱动清理终极指南与问题解决方案
  • 原来知名的多媒体会议音响设备供应商背后有这么多门道?
  • 42、<简单>数字方阵-1
  • IIM-20670与PIC18F4553的6轴运动跟踪系统设计
  • 6款常用接口/保护芯片(SN74HC244/ACS724等)电路设计与PCB布局要点
  • IIM-20670运动传感器与STM32F437ZG的工业级应用方案
  • GetQzonehistory:3分钟学会备份你的QQ空间全部历史记录
  • ZenlessZoneZero-OneDragon:终极免费自动化工具,解放你的绝区零游戏时间
  • 云裳试衣专业吗
  • BMI323与PIC18F25K80组合在运动感知中的应用
  • Atlas 300I duo mindie 部署qwen3-vl-30b-a3b笔记
  • Fiverr新闻稿外链流程 | 筛选靠谱外包的4个排雷指标
  • Parsec VDD实战指南:5个技巧打造高性能Windows虚拟显示器驱动架构
  • 高效虚拟显示驱动实战指南:从游戏串流到多屏工作流的完整解决方案
  • 一键搞定完整网页截图:Chrome全屏截图插件终极指南
  • 【AI学习之旅02】AI全景图:一张图看懂AI生态——机器学习/深度学习/大模型关系与术语扫盲
  • BMI323与MK51DN512CLQ10在运动控制中的高效应用
  • 容器故障检测系统CPDS-analyzer:终极指南,快速诊断容器亚健康状态
  • 【JAVA毕设源码分享】基于 Spring Boot 的旅行指南系统的设计与实现(程序+文档+代码讲解+一条龙定制)
  • IIM-20670运动传感器与STM32集成开发指南
  • GetQzonehistory:5分钟完成QQ空间历史数据永久备份的终极方案
  • 免费试用的AI外呼系统有哪些?
  • Velox与Spark、Flink对比:如何选择最适合的数据处理执行引擎
  • 国内猎头公司前十名:HR和企业选猎头合作,真正要看什么?