CRA网络弹性法案解读:欧盟数字产品网络安全合规框架与产品分类 一、法规概述欧盟《网络弹性法案》Cyber Resilience Act, CRA编号 Regulation (EU) 2024/2847于2024年12月10日正式生效是欧盟首部针对含数字元素产品的网络安全横向立法。CRA的核心目标是要求所有在欧盟市场销售的联网数字产品从设计阶段即具备安全能力并在产品全生命周期内持续维护网络安全。1.1 与现有法规的关系CRA并非孤立存在而是欧盟网络安全法规体系的重要组成部分法规管控重点与CRA的关系RED 2014/53/EU无线电设备的网络安全3.3(d)(e)(f)CRA对含数字元素产品做横向补充无线设备同时受两者管控GDPR个人数据保护CRA关注产品安全属性GDPR关注数据处理合法性两者互补NIS2关键基础设施运营者安全CRA针对产品本身NIS2针对运营实体AI Act人工智能系统AI产品若含数字元素须同时满足CRA网络安全要求CRA第56条规定当产品同时落入CRA和其他欧盟法规如RED的管控范围时相关法规的基本要求可合并满足避免重复评估。二、适用范围CRA适用于所有含数字元素的产品products with digital elements即任何能够直接或间接连接网络并具备数据处理能力的产品。2.1 典型产品类别类别产品示例消费类物联网智能家居设备、可穿戴设备、智能玩具网络基础设施路由器、交换机、防火墙、VPN设备软件产品操作系统、中间件、应用软件、浏览器工业系统PLC、SCADA系统、工业IoT设备安全产品密码管理器、SIEM系统、PKI软件硬件组件微处理器、微控制器、FPGA、ASIC2.2 豁免范围以下产品不在CRA管控范围内已有专门法规覆盖MDR法规范围内的医疗器械IVDR法规范围内的体外诊断器械汽车法规Regulation (EU) 2019/2144范围内的车辆航空法规Regulation (EU) 2018/1139范围内的设备三、产品分类体系CRA依据产品核心功能的安全风险程度将含数字元素产品分为四个层级。分类依据是核心功能原则——即产品存在的主要目的而非附带功能或组件构成。分类风险等级合格评定路径产品示例默认产品普通自我评估Module A多数消费电子、商业硬件、应用软件Class I 重要产品较高协调标准自我评估 或 公告机构评定操作系统、路由器、VPN、密码管理器Class II 重要产品高强制公告机构评定防火墙、IDS/IPS、Hypervisor、防篡改芯片关键产品最高强制欧洲网络安全认证EUCC智能计量网关、智能卡/安全元件、安全盒硬件四、合格评定路径是否默认产品Class I 重要产品Class II 重要产品关键产品是否含数字元素产品是否落入豁免范围?不适用CRA确定产品核心功能产品分类Module A 自我评估是否全面应用协调垂直标准?强制公告机构评定Module BC / Module H强制EUCC认证Module A 自我评估编制技术文档签署EU符合性声明加贴CE标志4.1 评定模块说明模块类型适用对象特点Module A内部控制自我评估默认产品、符合协调标准的Class I制造商内部完成无需公告机构Module BCEU型式检验 一致性Class I无协调标准时、Class II公告机构审查设计并颁发证书制造商声明符合性Module H全面质量保证Class I无协调标准时、Class II公告机构评估质量管理体系适合产品线多的制造商EUCC欧洲网络安全认证关键产品首选由认可测试实验室执行基于Regulation (EU) 2019/881五、实施时间表时间节点里程碑事件2024年12月10日CRA法案正式生效2026年9月11日漏洞与事件报告义务开始适用2027年12月11日大部分条款全面适用含CE标志要求2027年12月11日前已合法投放市场的产品可继续销售但须履行漏洞报告义务。六、常见问题解答FAQQ1CRA与RED指令的网络安全要求是什么关系CRA是针对所有含数字元素产品的横向立法RED 3.3(d)(e)(f)是针对无线电设备的专项要求。当无线设备同时落入两者管控范围时制造商可通过一次评估同时满足两套要求CRA第56条明确避免了重复合规。Q2产品集成了第三方操作系统整机产品是否自动升级为Class I不会。CRA采用核心功能原则如果整机产品的核心功能不是操作系统如智能手机的核心功能是移动通信则即使集成了Class I类别的操作系统组件整机产品分类不自动升级。但操作系统组件本身作为独立产品投放市场时须按Class I评定。Q3Module A自我评估是否需要任何第三方介入Module A由制造商内部完成全部评估无需公告机构参与。但制造商仍须编制完整技术文档、签署EU符合性声明并承担合规责任。对于Class I产品仅当全面应用了协调垂直标准时才可使用Module A否则须通过公告机构。Q4安全更新支持周期至少5年是否适用于所有产品至少5年是默认预期值。如果产品的预期使用期短于5年如一次性传感器更新支持周期可与产品预期使用期一致。制造商须在技术文档中明确说明支持周期并向用户告知。Q5SBOM需要包含哪些信息CRA要求SBOM以常用、机器可读格式维护涵盖产品中使用的所有软件组件及其版本信息。具体应包括组件名称、版本号、来源、已知漏洞信息等。SBOM须在整个产品生命周期内持续更新。Q6非欧盟制造商是否需要指定欧盟代表是的。CRA要求非欧盟制造商须在欧盟境内指定一名授权代表经济运营商负责法规合规相关事务包括与监管机构沟通、保存技术文档等。数据来源声明本文依据欧盟Regulation (EU) 2024/2847Cyber Resilience Act官方文本、实施法规(EU) 2025/2392及欧盟委员会公开资料整理。相关法规如有更新以官方发布版本为准。