CRA网络弹性法案解读:欧盟数字产品网络安全合规框架与产品分类
一、法规概述
欧盟《网络弹性法案》(Cyber Resilience Act, CRA),编号 Regulation (EU) 2024/2847,于2024年12月10日正式生效,是欧盟首部针对含数字元素产品的网络安全横向立法。CRA的核心目标是要求所有在欧盟市场销售的联网数字产品从设计阶段即具备安全能力,并在产品全生命周期内持续维护网络安全。
1.1 与现有法规的关系
CRA并非孤立存在,而是欧盟网络安全法规体系的重要组成部分:
| 法规 | 管控重点 | 与CRA的关系 |
|---|---|---|
| RED 2014/53/EU | 无线电设备的网络安全(3.3(d)(e)(f)) | CRA对含数字元素产品做横向补充,无线设备同时受两者管控 |
| GDPR | 个人数据保护 | CRA关注产品安全属性,GDPR关注数据处理合法性,两者互补 |
| NIS2 | 关键基础设施运营者安全 | CRA针对产品本身,NIS2针对运营实体 |
| AI Act | 人工智能系统 | AI产品若含数字元素,须同时满足CRA网络安全要求 |
CRA第56条规定:当产品同时落入CRA和其他欧盟法规(如RED)的管控范围时,相关法规的基本要求可合并满足,避免重复评估。
二、适用范围
CRA适用于所有含数字元素的产品(products with digital elements),即任何能够直接或间接连接网络并具备数据处理能力的产品。
2.1 典型产品类别
| 类别 | 产品示例 |
|---|---|
| 消费类物联网 | 智能家居设备、可穿戴设备、智能玩具 |
| 网络基础设施 | 路由器、交换机、防火墙、VPN设备 |
| 软件产品 | 操作系统、中间件、应用软件、浏览器 |
| 工业系统 | PLC、SCADA系统、工业IoT设备 |
| 安全产品 | 密码管理器、SIEM系统、PKI软件 |
| 硬件组件 | 微处理器、微控制器、FPGA、ASIC |
2.2 豁免范围
以下产品不在CRA管控范围内(已有专门法规覆盖):
- MDR法规范围内的医疗器械
- IVDR法规范围内的体外诊断器械
- 汽车法规(Regulation (EU) 2019/2144)范围内的车辆
- 航空法规(Regulation (EU) 2018/1139)范围内的设备
三、产品分类体系
CRA依据产品核心功能的安全风险程度,将含数字元素产品分为四个层级。分类依据是核心功能原则——即产品存在的主要目的,而非附带功能或组件构成。
| 分类 | 风险等级 | 合格评定路径 | 产品示例 |
|---|---|---|---|
| 默认产品 | 普通 | 自我评估(Module A) | 多数消费电子、商业硬件、应用软件 |
| Class I 重要产品 | 较高 | 协调标准自我评估 或 公告机构评定 | 操作系统、路由器、VPN、密码管理器 |
| Class II 重要产品 | 高 | 强制公告机构评定 | 防火墙、IDS/IPS、Hypervisor、防篡改芯片 |
| 关键产品 | 最高 | 强制欧洲网络安全认证(EUCC) | 智能计量网关、智能卡/安全元件、安全盒硬件 |
四、合格评定路径
4.1 评定模块说明
| 模块 | 类型 | 适用对象 | 特点 |
|---|---|---|---|
| Module A | 内部控制(自我评估) | 默认产品、符合协调标准的Class I | 制造商内部完成,无需公告机构 |
| Module B+C | EU型式检验 + 一致性 | Class I(无协调标准时)、Class II | 公告机构审查设计并颁发证书,制造商声明符合性 |
| Module H | 全面质量保证 | Class I(无协调标准时)、Class II | 公告机构评估质量管理体系,适合产品线多的制造商 |
| EUCC | 欧洲网络安全认证 | 关键产品(首选) | 由认可测试实验室执行,基于Regulation (EU) 2019/881 |
五、实施时间表
| 时间节点 | 里程碑事件 |
|---|---|
| 2024年12月10日 | CRA法案正式生效 |
| 2026年9月11日 | 漏洞与事件报告义务开始适用 |
| 2027年12月11日 | 大部分条款全面适用(含CE标志要求) |
2027年12月11日前已合法投放市场的产品可继续销售,但须履行漏洞报告义务。
六、常见问题解答(FAQ)
Q1:CRA与RED指令的网络安全要求是什么关系?
CRA是针对所有含数字元素产品的横向立法,RED 3.3(d)(e)(f)是针对无线电设备的专项要求。当无线设备同时落入两者管控范围时,制造商可通过一次评估同时满足两套要求,CRA第56条明确避免了重复合规。
Q2:产品集成了第三方操作系统,整机产品是否自动升级为Class I?
不会。CRA采用核心功能原则:如果整机产品的核心功能不是操作系统(如智能手机的核心功能是移动通信),则即使集成了Class I类别的操作系统组件,整机产品分类不自动升级。但操作系统组件本身作为独立产品投放市场时须按Class I评定。
Q3:Module A自我评估是否需要任何第三方介入?
Module A由制造商内部完成全部评估,无需公告机构参与。但制造商仍须编制完整技术文档、签署EU符合性声明,并承担合规责任。对于Class I产品,仅当全面应用了协调垂直标准时才可使用Module A,否则须通过公告机构。
Q4:安全更新支持周期"至少5年"是否适用于所有产品?
"至少5年"是默认预期值。如果产品的预期使用期短于5年(如一次性传感器),更新支持周期可与产品预期使用期一致。制造商须在技术文档中明确说明支持周期,并向用户告知。
Q5:SBOM需要包含哪些信息?
CRA要求SBOM以常用、机器可读格式维护,涵盖产品中使用的所有软件组件及其版本信息。具体应包括组件名称、版本号、来源、已知漏洞信息等。SBOM须在整个产品生命周期内持续更新。
Q6:非欧盟制造商是否需要指定欧盟代表?
是的。CRA要求非欧盟制造商须在欧盟境内指定一名授权代表(经济运营商),负责法规合规相关事务,包括与监管机构沟通、保存技术文档等。
数据来源声明:本文依据欧盟Regulation (EU) 2024/2847(Cyber Resilience Act)官方文本、实施法规(EU) 2025/2392及欧盟委员会公开资料整理。相关法规如有更新,以官方发布版本为准。