IT/AV终端检测认证事业部

2024年10月10日，欧盟通过了《网络弹性法案》（CRA），以加强联网设备的网络安全。该法案已于2024年11月正式发布，为在欧盟境内生产、进口或销售的数字产品制定了强制性安全要求，确保硬件和软件产品在上市时具有更少的漏洞，并要求制造商在整个产品生命周期内严肃对待安全问题。

点击查看：欧盟《网络弹性法案》CRA涉及哪些产品？

一、 欧盟网络弹性法案要点：

适用范围广泛： 

CRA适用于所有具有数字元素并能直接或间接连接到设备或网络的产品，包括软件、硬件及其远程数据处理解决方案。但医疗设备、航空、汽车等已有特定行业法规的产品除外。

双重核心义务：

产品安全属性： 产品在设计、开发和生产阶段必须满足基本网络安全要求，如安全默认配置、漏洞防护、数据保护等。

漏洞管理流程： 制造商必须在产品的“支持周期”内建立并遵守漏洞处理流程，包括及时发布安全更新、提供漏洞披露政策等。

产品分类与合规路径： 

根据产品的关键程度，CRA将产品分为两类：重要产品（Annex III）： 如操作系统、路由器、智能家居设备、防火墙等。此类产品需进行更严格的符合性评估。

关键产品（Annex IV）： 如硬件安全模块、智能电表网关等。此类产品未来可能被要求通过欧盟网络安全认证计划进行认证。

制造商关键责任：

支持周期： 必须明确并公开产品的安全支持期限，通常不得少于5年。

安全更新： 在支持期内免费提供安全更新，并默认启用自动更新功能（用户可关闭）。
事件报告： 发现被主动利用的漏洞或严重影响产品安全的严重事件时，必须在24小时内向相关当局（CSIRT）和欧盟网络安全局（ENISA）报告。
CE标志： 符合CRA要求的产品必须加贴CE标志，表明其符合欧盟法规。

生效时间表：

2026年6月起： 开始实施符合性评估机构的指定规则。

2026年9月起： 制造商的安全事件和漏洞报告义务生效。

2027年12月起： CRA全面生效，此后在欧盟市场上市的所有适用产品必须完全合规。

二、 对企业的影响与行动建议

制造商：

立即行动： 对照CRA要求，评估现有和计划中产品的合规差距。

完善流程： 建立或完善安全开发生命周期、漏洞管理政策和协调漏洞披露（CVD）流程。
文档准备： 开始准备技术文档、网络安全风险评估报告和欧盟符合性声明。

规划支持周期： 为每个产品确定并规划至少5年的安全支持周期。

进口商与分销商：

需确保其投放市场的产品已符合CRA要求，并具有CE标志和必要的文档。他们同样负有市场监督责任。

三、 全球网络安全监管趋势

CRA的出台是全球网络安全监管强化趋势的显著体现。它与此前已发布的澳大利亚《2025年智能设备网络安全规则》等法规相呼应，共同强调了对产品全生命周期安全的要求。与此同时，各国在传统产品安全领域和能效标准领域的法规也在不断演进。企业需要以全局视角审视其产品合规策略，将网络安全、功能安全和能效要求整合到产品设计和质量管理体系中。