两个硬性截止日、三大合规支柱（产品安全、漏洞处理、用户文档）、41项在编标准……面对这部复杂的、几乎影响欧盟所有联网产品的《网络弹性法案》（CRA），你现在需要知道什么？又该做什么？本文将逐一解读，帮助制造商厘清法规要求，提前做好合规准备。

一、什么是CRA《网络弹性法案》？

《网络弹性法案》（Cyber Resilience Act, CRA，法案编号Regulation (EU) 2024/2847）是欧盟首部针对“含数字元素产品”的横向（horizontal）网络安全法规，对欧盟市场上任何联网产品的设计、开发、生产和持续维护，设立了强制性的网络安全要求。

CRA于2024年12月10日正式生效，将分阶段强制实施：

二、产品范围与分级

1、产品范围：

一个产品若同时满足以下三个条件，即属于CRA管控范围：

1. 符合“含数字元素的产品”的定义（即任何在市场上销售的软件或硬件产品，包括其远程数据处理方案）；

2. 在欧盟市场销售；

3. 其预期用途或合理可预见用途包含直接或间接、逻辑或物理的数据连接（连接至设备或网络）。

   以下类别完全或部分豁免：

   医疗器械（EU 2017/745）、体外诊断器械（EU 2017/746）、机动车（EU 2019/2144）、依据EU 2018/1139认证的民用航空产品、依据2014/90/EU的海事设备，仅供自用的产品不在范围。

    

    

   2、产品分级：

   CRA将产品分为三级，决定了合规评估的复杂程度和是否需要第三方介入：

• 默认类别（Default）：绝大多数产品，可自我声明合规。

• 重要类别（Important）：细分为重要1类（Class I）和重要2类（Class II）。

• 重要1类：如果适用于协调标准可自我评估，否则需经过NB机构认证评估。

• 重要2类：必需NB机构评估。

• 关键类别（Critical）：只能由待售国家认可测试机构认证。

   

   

  三、CRA落地标准

  目前所有CRA相关标准（共41项）均处于草案阶段，尚无制造商可合法声明CRA合规。建议企业先基于草案提前准备，待最终标准定稿后便可快速适配。

  CRA的落地标准具体分为两大类：

    横向标准（适用所有产品）：

  prEN 40000-1-2 风险评估与网络安全生命周期：

  为所有产品在整个生命周期建立通用的网络安全原则与风险管理框架。是其他所有合规工作的根基。

  prEN 40000-1-3 漏洞处理要求：

  定义CRA Annex I Part II项下的漏洞处理要求。

  prEN 40000-1-4 产品安全要求：

  定义Default类产品在Annex I Part I项下的产品安全要求。Important与Critical产品在此基线之上叠加垂直标准。约2/3的要求来源于EN 18031系列——对已符合RED的制造商而言，是显著的先发优势。

    纵向标准（适用Important与Critical产品）：

  EN 304 617 – 浏览器的网络安全要求

  EN 304 618 – 密码管理器的网络安全要求

  EN 304 619 – 搜索、删除或隔离恶意软件的网络安全要求

  EN 304 620 – 虚拟专用网络（VPN）的网络安全要求

  EN 304 621 – 网络管理系统（NMS）的网络安全要求

  EN 304 622 – 安全信息与事件管理（SIEM）的网络安全需求

  EN 304 623 – 启动管理器的网络安全要求

  EN 304 624 – 公钥基础设施和数字证书发行软件的基本网络安全要求

  EN 304 625 – 物理和虚拟网络接口的网络安全要求

  EN 304 626 –操作系统（OS）的网络安全需求

  EN 304 627 – 路由器、用于互联网连接的调制解调器和交换机的基本网络安全要求

  EN 304 635 – 虚拟化执行栈（VES）和容器执行栈（CES）的网络安全需求，包括虚拟机监控程序和容器运行系统

  EN 304 636 – 防火墙、入侵检测和/或防御系统的网络安全要求

四、CRA合规路线图

● 立即行动：

1. 给产品分级：哪些产品是重要1类、重要2类和关键类别，将安全机制、操作系统类似的产品归并为产品族，只做一次认证，可大幅降低合规成本；

2. 按产品族识别适用标准：横向标准、以及已有的垂直草案；

3. 确定指定CSIRT和产品销售的成员国清单。

   2026年9月前：

4. 关注待销售国家ENISA资讯，等待报告平台（SRP）上线后完成注册；

5. 进行漏洞演练，模拟当出现漏洞后到信息上报SRP的完整流程。

   2027年12月前

6. 对标垂直标准：重要1类产品优先匹配对应的ETSI草案（如玩具对应EN 304 633、穿戴设备对应EN 304 634），提前自测整改；

7. 文档搭建：完成风险评估报告、测试报告、SBOM、漏洞处置流程等必备文档；

8. 测试规划：重要2类和关键类别产品提前对接NB机构，规划产品测试周期。

    

   五、常见问题FAQ

   Q1：产品分级的依据是什么？

   A： 产品分级根据影响进行定级。例如，普通家电类产品即使存在安全风险，其影响范围也相对有限；而像重要2类防火墙等产品一旦失陷，可能导致整个企业面临安全攻击，业务瘫痪。

   Q2：产品已通过EN 18031测试，还需要做CRA认证吗？

   A： 需要。EN 18031是RED指令下的网络安全标准，针对无线设备的加密、访问控制等具体技术指标。CRA是更广泛的框架性法规，覆盖全生命周期风险管理、漏洞报告、安全更新等系统性要求。两者各自独立适用，通过EN 18031测试不等于完成CRA合规。

   Q3：CRA合规需要多长时间？

   A： CRA合规不是单一的“认证测试”流程，而是一套持续性的合规体系。首次建立合规体系（风险评估、技术文档、漏洞管理机制、安全更新流程）的周期通常在3-6个月左右，具体取决于产品的复杂程度和现有安全基础的成熟度。

   Q4：如果CRA不合规，会有什么后果？

   A： 违规企业将面临最高1500万欧元或全球年营业额2.5%的罚款（以较高者为准），产品可能被要求撤出欧盟市场。此外，成员国市场监督机构有权对不合规产品采取限制措施，包括要求召回和下架。

    

   沃特检验集团是一家拥有CNAS和CMA资质的专业第三方检测机构，技术实力雄厚，检测经验丰富。依托完备的网络安全服务体系与专业技术能力，沃特可为企业提供一站式CRA合规解决方案，助力企业高效完成CRA合规筹备、测试认证与市场准入工作。

    

   后续我们将持续更新CRA最新政策、漏洞统一上报正式入口、高风险产品合规指南等实用信息。欢迎咨询沃特进行讨论交流~