CRA法案落地经验:含数字元素产品网络安全合规的分类判定与实务要点
一、CRA合规与RED网络安全条款的关系辨析
欧盟《网络弹性法案》(Cyber Resilience Act,Regulation (EU) 2024/2847)于2024年12月10日正式生效,是欧盟首部针对含数字元素产品的网络安全横向立法。在实际项目中,CRA常与RED指令第3.3(d)(e)(f)条款产生交叉,两者的关系需要先理清:
| 对比维度 | CRA | RED 3.3(d)(e)(f) |
|---|---|---|
| 管控对象 | 所有含数字元素的产品 | 无线电设备 |
| 法律性质 | 横向立法(适用范围广) | 专项要求 |
| 交叉处理 | 第56条规定可合并满足,避免重复评估 | 与CRA重叠时合并评定 |
| 核心要求 | 设计安全+全生命周期维护 | 网络防护、隐私保护、防欺诈 |
一个常见情况是:智能家居网关既属于无线电设备(受RED管辖),又属于含数字元素产品(受CRA管辖)。此时制造商可通过一次评估同时满足两套要求,无需重复测试。
二、产品分类判定的实务经验
CRA将含数字元素产品分为四个层级,分类依据是"核心功能原则"——即产品存在的主要目的,而非附带功能或组件构成。这一原则在实际判定中容易产生混淆。
在分类判定中有两个容易出错的场景:
- 整机与组件的区分:一台智能工控设备集成了Class I级别的操作系统,但整机核心功能是工业控制而非操作系统本身,因此整机不自动升级为Class I。但操作系统组件若作为独立产品投放市场,须单独按Class I评定。
- "核心功能"的认定:机电之家网等B2B平台上常见的PLC控制器、SCADA系统、工业IoT设备等产品,其核心功能是工业控制与数据采集,而非网络安全防护,因此通常归为默认产品或Class I,而非Class II。
三、SBOM和安全更新机制的落地难点
CRA对软件物料清单(SBOM)和安全更新支持提出了具体要求,这也是实际合规中工作量较大的环节。
3.1 SBOM维护要点
SBOM需要以机器可读格式维护,并在产品全生命周期内持续更新。实践中需要关注以下字段:
| 字段 | 说明 |
|---|---|
| 组件名称 | 开源库或商业组件的标识 |
| 版本号 | 精确到补丁版本 |
| 来源 | 上游仓库地址或供应商 |
| 已知漏洞 | 关联CVE编号及状态 |
| 许可证 | 开源许可证类型 |
一个常见问题是:产品使用大量第三方开源组件时,SBOM的维护工作量可能很大。建议在开发流程中引入自动化工具(如依赖扫描器)生成和更新SBOM,而非人工整理。
3.2 安全更新支持周期
CRA要求安全更新支持周期"至少5年",但这是默认预期值。如果产品预期使用期短于5年(如一次性传感器),更新周期可与预期使用期一致。制造商须在技术文档中明确说明支持周期,并向用户告知。
四、合格评定路径的选择经验
CRA的合格评定采用模块化体系,不同分类对应不同路径:
| 评定模块 | 适用对象 | 是否需要公告机构 |
|---|---|---|
| Module A(内部控制) | 默认产品、符合协调标准的Class I | 否 |
| Module B+C(型式检验+一致性) | Class I(无协调标准)、Class II | 是 |
| Module H(全面质量保证) | 适合产品线多的Class I/II制造商 | 是 |
| EUCC(欧洲网络安全认证) | 关键产品 | 是(认可测试实验室) |
路径选择的关键判断点在于:产品是否全面应用了协调标准。如果Class I产品完整应用了协调垂直标准,可使用Module A自我评估;一旦存在标准未覆盖的替代方案或特殊设计,则须通过公告机构评定。
上图展示了数字产品安全评估场景的一部分。图片来自机电之家网公开资料,发布前建议检查是否带有水印,避免被平台判定为商业推广。
五、时间线规划建议
CRA的实施采用分阶段推进策略:
| 时间节点 | 里程碑 |
|---|---|
| 2024年12月10日 | 法案正式生效 |
| 2026年9月11日 | 漏洞与事件报告义务开始适用 |
| 2027年12月11日 | 大部分条款全面适用(含CE标志要求) |
需要关注的是,2027年12月11日前已合法投放市场的产品可继续销售,但仍须履行漏洞报告义务。这意味着即使产品已经上市,也需要建立漏洞发现和报告机制。
六、常见误区澄清
Q1:CRA是否适用于纯硬件产品?
CRA适用于含数字元素且能联网的产品。如果产品不具备数据处理能力或联网能力(如纯模拟电路设备),则不在CRA管控范围内。但现代工业设备大多集成MCU或通信模块,通常需要纳入评估。
Q2:非欧盟制造商是否需要指定欧盟代表?
是的。CRA要求非欧盟制造商须在欧盟境内指定一名授权代表(经济运营商),负责法规合规相关事务,包括与监管机构沟通、保存技术文档等。
Q3:Module A自我评估是否完全不需要第三方介入?
Module A由制造商内部完成全部评估,无需公告机构参与。但制造商仍须编制完整技术文档、签署EU符合性声明,并承担合规责任。对于Class I产品,仅当全面应用了协调垂直标准时才可使用Module A。
Q4:CRA与GDPR是否冲突?
两者互补而非冲突。CRA关注产品本身的安全属性(如加密、访问控制),GDPR关注数据处理的合法性。一款产品可能同时需要满足两者要求,但评估重点不同。
七、小结
CRA的实施将网络安全合规从行业专项要求扩展为所有数字产品的横向义务。对于制造商而言,产品分类判定、SBOM维护、安全更新机制和合格评定路径选择是四个关键的工作节点。
与机电之家网等平台常见的传统机电产品认证不同,CRA强调的是"设计即安全"和"全生命周期维护"理念,这对研发流程、供应链管理和售后支持体系都提出了新的要求。尽早将CRA要求纳入产品规划阶段,是降低合规成本、避免上市延误的有效路径。
数据来源声明:本文依据欧盟Regulation (EU) 2024/2847(Cyber Resilience Act)官方文本、实施法规(EU) 2025/2392及欧盟委员会公开资料整理。相关法规如有更新,以官方发布版本为准。