一文读懂欧盟CRA:谁在管、管什么、不报后果有多严重?(附法案原文)

admin 2026-07-17 04:21:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 欧盟网络弹性法案CRA是首部对数字产品提出强制性网络安全要求的法规,覆盖硬件和软件全生命周期。核心要求安全设计与默认安全,制造商需承担漏洞报告义务,2026年9月报告义务生效,2027年12月全面实施。不合规面临最高1500万欧元罚款或全球年营业额2.5%。企业应立即建立漏洞管理流程并准备SBOM。 综合评分: 89 文章分类: 政策法规,安全建设,漏洞分析,应用安全,解决方案


cover_image

一文读懂欧盟CRA:谁在管、管什么、不报后果有多严重?(附法案原文)

原创

筑梦网安 筑梦网安

全栈安全

2026年7月12日 16:37 河南

在小说阅读器读本章

去阅读

从硬件设备到软件产品,2027年起不满足网络安全要求的产品将无法在欧盟销售,你的产品准备好了吗?

一、为什么要出台这部法案?

2024年11月20日,欧盟《网络弹性法案》(Cyber Resilience Act, CRA,编号Regulation (EU) 2024/2847)在欧盟官方公报上正式公布。这是一部具有里程碑意义的立法——欧盟首部对包含数字元素产品提出强制性网络安全要求的法规

法案原文获取方式见文末

为什么要出台这样一部法案?

数字产品已经无处不在——从婴儿监视器到智能手表,从手机App到计算机程序。但大多数用户并不知道这些产品可能存在的安全风险。欧盟在法案序言中指出了两个核心问题:

第一,产品的网络安全水平普遍低下。 大量数字产品存在广泛的安全漏洞,制造商对漏洞的响应不及时、安全更新不充分且缺乏一致性。

第二,用户信息严重不足。 消费者和企业用户缺乏足够的信息来判断哪些产品是安全的,也不知道如何安全地配置和使用这些产品。

在法案出台之前,欧盟虽有NIS2指令、网络安全法案等法规,但都没有直接覆盖对数字产品本身的强制性安全要求。CRA的出台正是为了填补这一立法空白。

《网络信息系统安全指令》(Directive on Security of Network and Information Systems)”,简称为NIS指令。它于2016年由欧盟通过,是欧盟第一部专门针对网络安全制定的具有法律约束力的框架性指令,旨在提升欧盟整体的网络与信息系统安全水平。NIS2是其更新版,并已于 2023 年 1 月 16 日生效。

CRA法案于2024年12月10日正式生效,是欧盟2020年《网络安全战略》和《安全联盟战略》的重要落地成果。

二、法案适用范围:几乎覆盖所有“带数字元素”的产品

CRA适用于所有具有数字元素并能直接或间接连接到设备或网络的产品,包括硬件、软件及其远程数据处理解决方案。

具体来说,覆盖范围包括:

  • • 硬件设备:智能手机、笔记本电脑、智能家居产品(智能门锁、智能摄像头)、智能手表、联网玩具、微处理器、防火墙、路由器等
  • • 软件产品:操作系统、浏览器、密码管理软件、手机App、电脑游戏、会计软件等

简单来说,只要你的产品能联网、带数字功能,无论面向企业还是个人消费者,都在CRA的监管范围内

以下产品被排除在外:医疗设备、民用航空器、机动车辆,以及为国家安全和防御目的开发的产品(这些已有专门的行业法规监管)。

三、核心原则:从“设计”到“报废”的全生命周期安全

CRA的核心可以概括为四个原则:

1. 基于风险的方法:根据风险的潜在影响和发生可能性来识别、评估和减轻风险。

2. 安全设计(Secure by Design):软件和硬件需要从产品概念阶段就考虑网络安全,而不是等出了问题再补救。

3. 默认安全(Secure by Default):产品“开箱即用”时就应尽可能安全,无需用户额外配置。

4. 透明度:让用户能轻易获取产品的网络安全信息,提升采购决策和使用的安全性。

CRA要求制造商在产品的整个生命周期——从规划、设计、开发、生产到交付、维护,直至产品退役——都要承担网络安全责任。

四、关键时间节点:三阶段推进

| 时间节点 | 具体内容 | | — | — | | 2024年12月10日 | CRA正式生效 | | 2026年9月11日 | 制造商漏洞与安全事件上报义务生效发现被积极利用的漏洞或严重安全事件,须在24小时内向当局报告 | | 2027年12月11日 | 全面实施 所有新投放欧盟市场的产品必须满足CRA全部要求,完成合规评定并加贴CE标志(Conformité Européenne,欧洲合格认证) |

⚠️ 注意:2026年9月的上报义务是所有制造商必须最先应对的“硬 deadline”——无论产品是否已完成全面合规,只要发现被积极利用的漏洞,就必须在规定时间内报告。

五、各角色需要做什么?

制造商、进口商和经销商责任

制造商(核心责任主体)

制造商是CRA的核心责任主体,承担最重的义务:

(一)产品安全要求

  • • 在产品设计、开发和生产中遵循严格的安全标准
  • • 进行全面的网络安全风险评估
  • • 产品必须具备安全的默认配置
  • • 保障用户数据的机密性、完整性和隐私
  • • 加强访问控制、加密技术应用和数据防篡改
  • • 产品应具备抵御网络攻击的弹性

(二)漏洞处理要求

  • • 在产品设计阶段就要预判安全漏洞和网络攻击风险
  • • 及时识别、记录和修复产品中的漏洞
  • • 在整个支持周期内(通常不少于5年)免费提供安全更新
  • • 安全更新应尽量独立于功能性更新发布
  • • 遵循透明的漏洞披露政策
  • • 创建并维护机器可读的软件物料清单(SBOM)

(三)合规评定与文档

  • • 投放市场前编制技术文件
  • • 自行或委托第三方进行合格评定
  • • 发布欧盟符合性声明
  • • 产品加贴CE标志

(四)报告义务(2026年9月11日起)

这是最先生效的硬性义务:

漏洞上报(发现被积极利用的漏洞时):

  • • 24小时内:发出早期预警(受影响产品、涉及的欧盟成员国)
  • • 72小时内:提交漏洞通知(利用方式、已采取的缓解措施等)
  • • 修复完成后14天内:提交最终技术报告

安全事件上报(发生严重影响产品安全的事件时):

  • • 24小时内:发出早期预警
  • • 72小时内:提交事件通知
  • • 事件通知后1个月内:提交最终报告

报告对象:通过欧盟单一报告平台(SRP) 统一上报,同步通知欧盟网络安全局(ENISA)和相关国家的CSIRT。

(五)对用户的义务

  • • 在得知安全事件后立即向用户通报
  • • 提供相关的纠正措施
  • • 随附详细的用户信息和使用说明

进口商

进口商虽然责任比制造商轻,但也有明确的法定义务:

  • • 只能将符合网络安全基本要求、已完成合格评定、带有CE标志和技术文件的产品投放市场
  • • 必须核实制造商是否履行了其义务
  • • 发现安全风险时需采取行动,并与主管当局密切合作
  • • 同样负有漏洞和事件报告义务

特别提醒:如果进口商将自己的品牌贴在产品上,将被视为制造商,承担制造商的所有义务。

经销商

经销商的义务相对较轻,主要是:

  • • 履行谨慎义务,确保所销售的产品带有CE标志
  • • 核实制造商已完成合规义务
  • • 发现安全风险时需采取行动并与当局合作
  • • 同样负有报告义务

六、产品分级:不同产品不同“待遇”

CRA根据产品的关键程度进行分类,评定程序的严格程度随之递增:

| 类别 | 包含产品示例 | 合规路径 | | — | — | — | | 一般产品 | 大部分消费类数字产品 | 自我评估 | | 重要产品Class I | 身份管理系统、访问控制设备、密码管理器、操作系统、带安全功能的智能家居产品(智能门锁、摄像头等) | 更严格的符合性评估 | | 重要产品Class II | 虚拟化平台、容器运行时系统、防篡改微处理器和控制器 | 更严格的符合性评估 | | 关键产品 | 硬件安全模块、智能卡、安全元件等 | 可能需要欧盟网络安全认证 |

对于重要和关键产品,第三方机构(指定机构)的评估可能是强制性的

七、不合规的代价

⚠️ 后果非常严重

| 违规类型 | 最高罚款 | | — | — | | 违反基本网络安全要求 | 1500万欧元 或全球年营业额的2.5%(取高者) | | 其他违规行为 | 1000万欧元 或营业额的2% | | 向监管机构提供虚假或不完整信息 | 500万欧元 或营业额的1% |

此外,产品将无法获得CE标志,也就无法进入欧盟市场。监管机构还可要求企业修复漏洞、限制销售甚至召回产品

八、开源软件的特殊处理

CRA对免费开源软件(FOSS) 有特殊规定。非商业性的开源软件通常不在强制监管范围内,但如果开源软件被商业化(比如作为商业产品的一部分或提供商业支持服务),则同样需要遵守CRA要求。

九、企业现在该做什么?

距离2026年9月的报告义务生效不到3个月,时间紧迫。建议企业立即行动:

CRA合规行动清单

十、常见问题快速问答(报告义务篇)

以下问答基于法案第14条(Article 14) 及官方解读,帮助您快速判断报告边界。

Q1:哪些漏洞必须向当局报告?

A:只有被主动利用的漏洞(actively exploited vulnerability) 才触发报告义务。即“有可靠证据表明漏洞正在被未经授权的行为者利用”——法案原文:“actively exploited vulnerability contained in the product”(Art. 14(1))。如果漏洞存在但未被利用,暂不报告(但需纳入漏洞处理体系,2027年12月起全面适用)。

Q2:哪些安全事件必须报告?

A严重影响产品安全的严重事件(severe incident)。法案定义了两种判定标准(Art. 14(3)):① 事件负面影响或可能负面影响产品保护敏感数据的能力(可用性、真实性、完整性、机密性);② 事件已导致或可能导致在产品中引入或执行恶意代码。满足任一条即构成“严重事件”。

Q3:哪些情况不需要报告?

A:主要包括四类:

  • • 产品不在CRA范围内(如医疗设备、航空器、机动车辆、国安用途产品)——依据序言(25)(26);
  • • 漏洞存在但未被主动利用(仅潜在风险);
  • • 事件不满足上述“严重”标准
  • • 制造商尚未意识到该漏洞或事件(但须有主动发现机制)。

Q4:报告给谁?时间要求多紧?

A:通过欧盟单一报告平台(SRP) 统一提交。漏洞上报:24小时内早期预警 → 72小时内详细通知 → 修复后14天内最终报告。严重事件:24小时预警 → 72小时通知 → 1个月内最终报告。

Q5:2026年9月前已经上市的老产品需要报告吗?

A需要。报告义务适用于所有已在欧盟市场销售的产品(含存量产品),不限于是新投放市场的产品。只要发现被主动利用的漏洞或严重事件,就必须报告。

写在最后

欧盟《网络弹性法案》的出台,标志着全球网络安全监管进入了一个全新阶段——从“事后补救”走向“出厂即安全”。它不仅是欧盟内部市场的统一标准,更将对全球科技制造企业的供应链布局和市场准入策略产生深远影响

这部法规的深远意义在于:它改变了以往“产品上市前做一次合规检测就完事”的模式,要求制造商对产品整个生命周期承担网络安全责任。

正如法案所言,网络安全不仅关系到欧盟的经济,更关系到民主制度、消费者安全和健康。对于任何希望进入欧盟市场的数字产品企业来说,CRA合规已不再是“选择题”,而是一道必答题


📄 法案原文下载

  • • Cyber Resilience Act(CRA).pdf: https://url25.ctfile.com/f/1848625-17569842287509-48972b?p=6277(访问密码:6277)

推荐阅读

  • 全球网络安全立法的演变
  • 解读《中华人民共和国网络安全法》:所有IT从业者都应知应懂
  • 趣说产品安全设计的十大经典原则

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:全栈安全 筑梦网安 筑梦网安《一文读懂欧盟CRA:谁在管、管什么、不报后果有多严重?(附法案原文)》

评论:0   参与:  0