一文读懂 | 欧盟《网络弹性法案》（CRA）

全球网络安全监管正迎来重要转折。随着欧盟《网络弹性法案》（CRA）的正式出台，所有在欧盟境内生产、进口或销售的数字产品均须满足强制性网络安全要求。该法案不仅要求硬件和软件在上市时具备更高的安全基准、显著减少已知漏洞， 更强制制造商在整个产品生命周期内严肃对待安全问题。

这一法规的实施，将深远影响全球科技制造企业、供应链布局及市场准入策略，成为企业进军欧洲乃至全球市场必须跨越的新的合规门槛。

欧盟网络弹性法案要点

1. 适用范围广泛
   • CRA适用于所有具有数字元素并能直接或间接连接到设备或网络的产品，包括软件、硬件及其远程数据处理解决方案。但医疗设备、航空、汽车等已有特定行业法规的产品除外。
2. 双重核心义务
   • 产品安全属性：产品在设计、开发和生产阶段必须满足基本网络安全要求，如安全默认配置、漏洞防护、数据保护等。
   • 漏洞管理流程：制造商必须在产品的“支持周期”内建立并遵守漏洞处理流程，包括及时发布安全更新、提供漏洞披露政策等。
3. 产品分类与合规路径
   根据产品的关键程度，CRA将产品分为两类：
   • 重要产品（Annex III）：如操作系统、路由器、智能家居设备、防火墙等。此类产品需进行更严格的符合性评估。
   • 关键产品（Annex IV）：如硬件安全模块、智能电表网关等。此类产品未来可能被要求通过欧盟网络安全认证计划进行认证。
4. 制造商关键责任
   • 支持周期：必须明确并公开产品的安全支持期限，通常不得少于5年。
   • 安全更新：在支持期内免费提供安全更新，并默认启用自动更新功能（用户可关闭）。
   • 事件报告：发现被主动利用的漏洞或严重影响产品安全的严重事件时，必须在24小时内向相关当局（CSIRT）和欧盟网络安全局（ENISA）报告。
   • CE标志：符合CRA要求的产品必须加贴CE标志，表明其符合欧盟法规。
5. 生效时间表
   • 2026年6月起：开始实施符合性评估机构的指定规则。
   • 2026年9月起：制造商的安全事件和漏洞报告义务生效。
   • 2027年12月起： CRA全面生效，此后在欧盟市场上市的所有适用产品必须完全合规。

对企业的影响与行动建议

1. 制造商
   • 立即行动：对照CRA要求，评估现有和计划中产品的合规差距。
   • 完善流程：建立或完善安全开发生命周期、漏洞管理政策和协调漏洞披露（CVD）流程。
   • 文档准备：开始准备技术文档、网络安全风险评估报告和欧盟符合性声明。
   • 规划支持周期：为每个产品确定并规划至少5年的安全支持周期。
2. 进口商与分销商
   需确保其投放市场的产品已符合CRA要求，并具有CE标志和必要的文档。他们同样负有市场监督责任。

全球网络安全监管趋势

CRA的出台是全球网络安全监管强化趋势的显著体现。它与此前已发布的澳大利亚《2025年智能设备网络安全规则》等法规相呼应，共同强调了对产品全生命周期安全的要求。与此同时，各国在传统产品安全领域和能效标准领域的法规也在不断演进。企业需要以全局视角审视其产品合规策略，将网络安全、功能安全和能效要求整合到产品设计和质量管理体系中。

Intertek网络安全服务

Intertek可以根据网络安全相关法规或组织的特定需求量身定制解决方案，包括但不限于数据加密、防火墙、漏洞监控、渗透测试和入侵检测等方面，确保联网设备的网络与数据安全。不仅如此，Intertek还将与您的团队合作，将网络安全要求纳入开发过程，帮助产品更快、更好的符合相关法规的要求，助力企业全面实施网络安全解决方案，保护其电子信息资产。