近期，欧盟委员会正式发布文件（C(2026) 778 final），宣布自2027年12月11日起废除RED网络安全授权法规（(EU) 2022/30），由《网络弹性法案》（CRA）全面接管；其中漏洞上报等核心义务将于2026年9月率先强制实施。对出口欧盟的软硬件企业而言，这是强制要求项且无关产品类型，违规者最高可面临全球营业额2.5%的罚款！

本文将深度拆解CRA框架下漏洞管理与披露的核心规则、上报时限、实操流程，助您快速落地合规。

一、漏洞上报要求

CRA围绕产品全生命周期设定了严格的合规要求，其中关于漏洞上报的核心规定如下：

● 接收漏洞与事件上报企业发现主动被利用漏洞或严重安全事件，第一时间上报给本国CSIRT。

● 跨境信息分发通过欧盟统一平台，把风险同步给其他成员国，防止漏洞跨欧扩散。

● 协调漏洞披露指导企业走“协同漏洞披露”流程，避免信息乱公开造成更大危害。

● 对接市场监管把风险信息同步给监管机构，支撑合规检查与处罚。

二、哪些漏洞必须报？哪些漏洞不用报？

根据CRA第14条第1款，制造商一旦知悉产品中存在已被实际利用的漏洞，必须通过ENISA（欧盟网络安全局）统一上报平台进行多层上报。以下情形需强制上报：

● 有公开POC/攻击工具，且已被恶意利用的漏洞

● 技术社区披露、有证据正在被黑客攻击的漏洞

● 厂商自研发现的0day漏洞，且确认已被利用

● 安全调查中发现、导致严重安全事件的漏洞

未被实际利用的漏洞，不要求上报。以下情形无需上报（常规自查修复即可）：

● 仅扫描发现、无实际利用条件的漏洞

● 漏洞奖励计划（SRC）中普通/低危漏洞

● 内部研究、未被利用的潜在漏洞

● 业务逻辑缺陷（无远程利用可能）

三、上报流程与时限

所有出海企业需建立安全事件响应团队（PSIRT）和漏洞接收通道，并要求企业发现被利用的漏洞 / 严重事件后：

● 24小时内：向ENISA提交早期预警；

● 72小时内：提交详细通报（含缓解措施）；

● 14天内：提交最终修复报告。
 

四、24小时“生死线”：企业如何快速完成漏洞上报？

根据CRA第14条、第16条，漏洞上报的核心机制是：通过ENISA建设的“CRA统一上报平台”（CRA Single Reporting Platform，简称CRA-SRP）进行一次上报，系统会自动将通知同步发送至对应的成员国CSIRT以及ENISA。该平台预计于2026年9月上线。

在此之前，企业需建立好相应的报告机制：

1. 确认你的欧盟授权代表与所属成员国，上报平台会自动匹配对应国家CSIRT。

2. 梳理产品是否在CRA范围内，联网硬件、软件、IoT、智能设备基本都覆盖。

3. 搭建漏洞监测与上报流程，确保24小时内能触发预警。

4. 等待统一平台上线正式入口，将在2026年9月前由ENISA公布。

如上述准备工作未能按时完成，一旦在2026年9月之后发生被实际利用的漏洞，且企业无法在24小时内完成上报，可能触发最高1500万欧元或全球营业额2.5%的巨额罚款（以较高者为准）。

关于CRA法案：

《网络弹性法案》（Cyber Resilience Act，简称CRA，法规编号(EU) 2024/2847）是欧盟于2024年12月10日正式生效的强制性网络安全法规，旨在为所有进入欧盟市场的 “带有数字元素的产品（products with digital elements, PDEs）” 设定统一安全标准。其核心逻辑是将安全责任从消费者转移至制造商：要求产品从设计、研发到退市的全生命周期都具备“网络弹性”，从源头杜绝安全漏洞，彻底改变过去 “重功能、轻安全” 的行业现状。

CRA的覆盖范围非常广泛，只要产品包含软硬件且能直接/间接连接网络，无论企业总部是否在欧盟，都需合规。

● 硬件产品：智能手机、笔记本电脑、智能家居设备、智能手表、联网玩具、微处理器、防火墙、智能电表网关等

● 软件产品：操作系统、手机App、会计软件、电脑游戏、后台服务、库文件等

● 嵌入式与物联网设备：MCU/CPU/SoC/ECU/Tbox等嵌入式组件、可联网的工业设备等

● 例外豁免：以下产品不适用CRA——已有专门法规覆盖的行业（医疗器械、汽车及车载组件、航空设备、航海设备、国防与国家安全产品）、非商业性质的开源软件、纯SaaS产品（但需纳入NIS2指令管理）

沃特建议：

距离2026年9月不足半年，如果您的产品属于CRA管辖范围，请务必立即开始内部评估和准备工作。后续我们也会持续更新CRA最新政策、漏洞统一上报正式入口、高风险产品合规指南等关键信息。

沃特检验集团是一家具备CNAS、CMA资质的专业第三方检测机构，技术实力雄厚，检测经验丰富。我们可依据CRA要求，提供专业的合格评定与合规支持服务，助力企业高效完成合规布局。欢迎咨询沃特，深入探讨交流~