文章总结： 欧盟《网络弹性法案》（CRA）对出口欧盟的数字产品提出分阶段合规要求：2027年12月11日前上市的产品若无实质性修改可豁免全套合规，但2026年9月11日起所有产品必须强制履行漏洞和安全事件上报义务。文档澄清了常见误区，强调实质性修改会触发全合规要求，并为企业提供短期和中长期行动清单，包括建立漏洞响应机制、产品台账管理和合规改造规划。 综合评分： 82 文章分类： 政策法规,漏洞预警,解决方案,供应链安全,安全运营

出口欧盟必看！CRA存量产品合规分水岭：2027年前上市产品不用全合规，但这条红线谁都躲不开

原创

GTG-Hardy GTG-Hardy

GTG网络安全实验室

2026年6月22日 10:33 广东

在小说阅读器读本章

去阅读

做智能硬件、工控设备、软件 APP 出海的企业注意了！欧盟《网络弹性法案》（CRA）分阶段落地，很多厂商误以为2027 年 12 月 11 日前上市的老产品可以彻底躺平。欧盟官方 FAQ 第 1.4 条专门澄清存量产品合规规则：存量产品有豁免窗口，但漏洞上报义务无任何例外，实质性修改会直接触发全套合规要求。今天一文讲透，避开巨额罚款、产品下架风险。

一

先理清CRA三大关键时间轴

看懂过渡期逻辑

CRA（EU 2024/2847）不是一刀切执行，三个核心节点决定企业合规动作：

1. 2026 年 6 月 11 日：各国启动 CRA 认证机构（公告机构）备案规则
2. 2026 年 9 月 11 日【重中之重】：第 14 条漏洞 / 安全事件上报义务强制生效，不分新旧产品，全覆盖
3. 2027 年 12 月 11 日：CRA 全部核心要求全面落地，新上市数字产品必须完整合规、带 CE 标识

很多企业只盯着 2027 年底，忽略 9 月就要启动上报机制，极易踩合规雷区。

二

官方FAQ 1.4 核心解读：

2027.12.11前上市产品两条核心规则

规则 1：无实质性修改 = 豁免全套 CRA 实体要求

法案第 69 条第 2 款明确：2027 年 12 月 11 日前投放欧盟市场的带数字元素产品，仅在发生实质性修改后，才需要满足 CRA 全部网络安全要求。如果只是常规小版本迭代、bug 修复，不改变产品核心用途，无需重做 CRA 风险评估、CE 认证、安全更新体系整改。

官方举例区分：普通更新 VS 实质性修改

1. 普通修复（不用合规）2027 年年中上架智能电视，2028 年推送补丁，仅解决 APP 闪退、画面卡顿等普通程序 bug，不新增功能、不改产品定位。判定：不属于实质性修改，电视无需适配 CRA 全套要求。
2. 实质性修改（必须全合规）2029 年推送大版本更新，新增全屋智能家居网关控制能力，彻底改变产品原始设计用途、新增大量网络交互风险。判定：属于实质性修改，厂商必须完成 CRA 风险评估、整改安全架构、补齐技术文档、完成合格评定。

什么是 “实质性修改”？

只要更新 / 改版满足任一条件即触发合规：

• 改动产品核心功能、变更产品原始预期用途；
• 修改认证、加密、访问控制等基础安全机制；
• 新增网络连接、远程控制、数据采集模块；
• 改动会破坏原有网络安全防护设计。

单纯漏洞补丁、性能优化、界面微调不属于实质性修改。

规则 2：上报义务永久不豁免，所有存量产品强制适用

法案第 69 条第 3 款是所有企业的红线，无任何缓冲：第 14 条漏洞与严重安全事件上报义务，适用于所有 CRA 管辖产品，无论 2027.12.11 之前还是之后上市。生效时间：2026 年 9 月 11 日起执行。

哪些情况必须上报？

厂商获取可靠证据后，需及时向欧盟 CSIRT、ENISA 通报两类风险：

1. 野外利用漏洞：黑客已在真实网络环境利用产品漏洞发起攻击（含零日漏洞）；
2. 严重安全事件：大规模数据泄露、设备批量被劫持、关键功能沦陷等高危事故。

针对老产品的特殊宽松条款

对于十几年前的老旧硬件 / 软件，厂商可能存在代码丢失、编译环境失效、无维护团队等客观限制：仅要求完成上报义务，CRA 不强制企业为存量老产品开发安全补丁、长期维护更新。但必须同步告知存量用户安全风险、给出缓解方案。

三

3个高频误区，90%出海企业都踩坑

误区 1：2027 年前上市的库存货，2028 年继续销售也要合规

错！判定标准是投放市场时间，不是终端销售时间。2027.12.11 前已完成投放、进入渠道的库存产品，即便 2028、2029 年才卖给消费者，只要不做实质性改版，无需满足 CRA 全套要求。

误区 2：同一款产品，早年上过市，2028 年再生产一批不用合规

错！CRA 监管单台产品投放行为，不保护产品型号。同一型号，2027 年前投放的库存可豁免；2027.12.11 之后新生产、新投放的同批次产品，必须完整满足 CRA 所有要求，重新完成合格评定。

误区 3：老产品没人维护，发现漏洞可以不上报

错！上报义务不设产品年限、不设维护周期门槛。哪怕是 10 年前停产的设备，只要仍在欧盟市场流通、厂商确认漏洞被黑客利用，必须履行上报流程，逾期不报将面临高额罚款、产品召回、限制欧盟市场准入。

四

出口企业落地行动清单

短期（2026 年 9 月前，紧急落地）

1. 梳理所有销往欧盟的存量智能硬件、软件、固件清单，建立产品台账，标注上市时间；
2. 搭建 PSIRT 漏洞响应团队，设立统一漏洞接收渠道，制定漏洞监测、取证、上报流程；
3. 区分产品更新类型，建立内部判定标准：每次发版前评估是否属于 “实质性修改”，留存评估文档；
4. 整理存量产品风险告知模板，一旦出现高危漏洞，可快速推送用户风险提示与临时缓解方案。

中长期（2027 年底前）

1. 新品研发全流程嵌入 CRA 安全设计，提前做风险评估、默认安全配置、5 年最低安全支持周期规划；
2. 计划 2027 年后迭代、大幅升级的老产品，提前启动 CRA 合规改造，预留认证周期；
3. 供应链管控：梳理第三方软硬件组件，落实组件集成尽职调查，留存 SBOM、漏洞检测记录。

1. 豁免≠放任：2027.12.11 前上市存量产品，无实质性修改可免全套 CRA 合规；
2. 一条永久红线：2026 年 9 月起，所有产品（新旧）高危漏洞、安全事件必须强制上报；
3. 实质性改版 = 新品合规：大版本功能、安全架构改动，必须补齐 CRA 风险评估、技术文档、CE 合格评定；
4. 库存和新品分开管理：早年投放库存可正常清仓，2027 年底后新生产同型号产品必须合规。

欧盟网络安全监管持续收紧，越早梳理存量产品台账、完善漏洞响应机制，越能避免后期处罚与市场停售损失。

广测电磁：全球数字安全合规优选伙伴

别让合规只停留在“拿证”。

面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管，凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队，为您提供真正的“实战级”防护。

🏆 为什么GTG能为您降本避险？

• 拒绝模板：不只给报告，我们提供定制化漏洞修复方案，确保产品真安全。
• 极致省心：代写核心文档，免除繁琐填表，让合规效率提升70%。
• 全域覆盖：从消费电子到汽车、工控、医疗，一站式解决全球隐私与数据安全难题。

您的全球合规通行证，从这里开始。

[👉 立即咨询 CRA / AI法案 / 隐私合规]

更多相关内容

欢迎关注视频号“GTG网络安全实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GTG网络安全实验室 GTG-Hardy GTG-Hardy《出口欧盟必看！CRA存量产品合规分水岭：2027年前上市产品不用全合规，但这条红线谁都躲不开》