服务热线
13352909249
欧盟《网络弹性法案》(Cyber Resilience Act, CRA)已于2024年12月正式生效,这项被称为“最严数字产品安全准则”的法规现已进入法律执行轨道。对于所有进入欧盟市场的科技企业来说,理解CRA的强制要求和合规时间表,已经从“未雨绸缪”变为“刻不容缓”。
法案虽已生效,但为企业设置了宝贵的过渡期。关键强制时间节点如下:
2026年9月起:制造商的安全事件和主动利用漏洞24小时报告义务正式生效;
2027年12月起:过渡期结束,CRA将全面实施,所有在欧盟市场销售的适用产品必须完全合规,否则将面临市场准入限制。
这意味着,企业仅剩约两年时间完成漏洞报告机制建设,不到三年就需实现所有产品的全面合规改造。
CRA监管范围极为广泛,涵盖任何带有数字元素、能直接或间接连接设备或网络的产品。这包括传统硬件设备、软件,以及SaaS服务等远程数据处理解决方案。仅专门用于军事、国防或国家安全的产品,以及已经被其他现行法规(如航空、汽车领域)覆盖的产品,将获得豁免。
根据风险等级,CRA将产品分为两类,监管要求逐级加码:
重要产品:如操作系统、路由器、智能家居设备等,需进行更严格的符合性评估;
关键产品:如硬件安全模块、智能电表网关等,除符合性评估外,未来可能需通过欧盟网络安全认证,面临最为严格的第三方符合性评估程序。
CRA的核心要求是产品在整个生命周期内具备“网络弹性”。制造商必须承担以下关键责任:
明确支持周期:公开安全支持期限,通常不少于5年;
免费安全更新:在支持期内免费提供安全更新;
漏洞管理:建立并维护漏洞处理流程,并在发现被主动利用的严重漏洞时,24小时内向ENISA等机构报告;
CE标志:符合要求的产品必须加贴CE标志,作为市场通行证。
2025年4月,欧洲标准化组织(CEN、CENELEC、ETSI)正式接受了为CRA制定协调标准的请求。这些标准预计将在2026年8月发布,涵盖网络安全基本原则和漏洞处理,2026年10月预计发布针对特定产品(如智能卡、安全微处理器等)的垂直标准。企业可在标准正式发布前,主动采纳IEC 62443(工业环境)和EN 303 645(消费物联网)等成熟国际标准,建立可验证的安全体系。 面对CRA的严格要求,相关企业应立即行动:
立即开展差距分析,评估现有产品与CRA要求的距离;
完善内部流程,将安全要求融入产品设计和开发流程,建立漏洞管理政策;
着手文档准备,开始准备技术文档、网络安全风险评估报告等必要文件;
规划产品支持周期,为每个产品确定并规划至少5年的安全支持能力。
欧盟《网络弹性法案》的实施,标志着数字产品网络安全监管进入“硬约束”时代。对企业而言,这不仅是挑战,更是重塑产品安全基因、在全球竞争中建立信任溢价的战略机遇。提前布局合规,方能行稳致远。
信息提交成功