欧盟《网络弹性法案》(Cyber Resilience Act,简称CRA)将于2027年12月11日起全面实施,要求在欧盟市场销售的数字产品必须满足严格的全生命周期安全要求。对于很多企业而言,第一次接触CRA法案,可能会出现以下疑问:CRA究竟是什么?我的产品是否适用?如何制定落地方案?需要准备哪些材料?难度大吗?
一、CRA法案概述
CRA《网络弹性法案》是一项针对数字产品的欧盟法律,其核心目标是确保产品在设计、开发、生产及使用全生命周期中具备网络安全能力,保护终端用户和供应链安全。法案覆盖范围广泛,包括软件、硬件以及具有数字功能的产品,对产品安全设计、漏洞处理、维护更新及合规文档提出了严格要求。
企业在实施CRA合规过程中,需要关注以下几个方面:
1.设计即安全(Security by Design):制造商必须将网络安全措施融入产品从规划、设计、开发到生产的全流程,并确保产品以"安全默认配置"交付。
2.漏洞处理要求:建立全生命周期监测;创建并维护机器可读软件物料清单SBOM;一旦出现被积极利用漏洞/严重事件,须经 ENISA 的 SRP 平台在24小时提交早期预警、72小时补充详报,并在14天(漏洞)/1个月(事件)提交最终报告,信息由协调 CSIRT 与 ENISA 接收与分发。
**3.信息与文档:**向用户提供清晰说明,覆盖安全功能、支持期限与安全安装/更新指引;并在技术文档中保留风险评估与符合性证据。
二、产品划分与不同合规路径
(1)默认类(Default):
制造商应对具有数字元素产品 及其建立的流程 进行合格评定 ,以确定是否满足基本网络安全要求。制造商应通过使用以下任一路径证明符合基本网络安全要求:
(a)自我声明;
(b) 欧盟型式检验程序 ,基于内部生产控制的符合欧盟型式;
(c) 基于全面 质量保证;
(d) 至少达到"实质性"保证水平的欧洲 网络安全 认证方案。
(2)重要 I 类产品(Important Class I):
制造商可以通过协调标准 、通用规范 或至少达到**"实质性"保证水平的欧洲网络安全认证方案**,或者可以通过以下任一路径:
(a) 欧盟型式检验程序 +基于内部生产控制的符合欧盟型式;
(b) 基于全面 质量保证。
(3)重要II 类产品(Important Class II):
****重要II 类 的重要具有数字元素产品,制造商应通过使用以下任一路径证明符合基本网络安全要求:
(a)欧盟型式检验程序 +基于内部生产控制的符合欧盟型式;
(b) 基于全面 质量保证;
(c) (如可用且适用)至少达到"实质性"保证水平的欧洲 网络安全 认证方案。
(4)关键类产品(Critical):
关键类具有数字元素产品必须 通过使用以**欧盟通用准则网络安全认证(EUCC)**证明符合基本网络安全要求:
(a) 获得至少"实质性"保证水平的欧洲 网络安全 证书;
三、CRA合规的四大核心难题
在实际推进过程中,国内制造商普遍遇到以下四个核心难题:
(1)法规条款理解不透彻
CRA法案涉及设计、开发、生产、维护和漏洞管理全流程的要求,条款内容繁复且关联紧密。企业若缺乏专业经验,很容易在关键环节遗漏细节,导致后续审核受阻。
(2)不确定如何满足CRA法案
企业往往不确定自家产品应如何满足CRA法案要求,尤其是面对多类产品线时。缺乏系统评估和标准对照,会导致不清楚改进重点,资源投入容易浪费。
(3)技术文档撰写门槛高
CRA《网络弹性法案》要求技术文档和符合性声明详细记录产品安全设计与实现,且需满足第三方审核机构认可标准。自行编写文档容易出现遗漏或不规范,影响认证效率。
(4)项目统筹与多方沟通
CRA合规涉及研发、测试、质量管理及第三方实验室的协调。缺乏专业项目管理经验,企业容易在资源调配和沟通上消耗大量时间,延长产品上市周期。
四、CRA合规所需准备材料
为了顺利完成CRA合规,企业需准备多项专业要求极高的材料,包括但不限于以下核心材料:
技术文档:包括软件物料清单(SBOM)、产品情况、产品设计、开发流程、漏洞处理流程等。
欧盟符合性声明:明确说明产品符合CRA要求,以及采用的协调标准和验证方法。
安全测试与评估报告:涵盖漏洞扫描、渗透测试和源代码审计,验证产品安全性。
漏洞管理记录:记录漏洞发现、修复及更新发布流程。
风险评估记录:分析潜在网络安全威胁及采取的防护措施。
五、欧盟符合性声明
欧盟符合性声明应包含以下所有信息:
-
产品的名称和类型以及任何允许其唯一识别的附加信息
-
制造商或其授权代表的名称和地址
-
声明欧盟符合性声明由提供者全权负责签发
-
声明对象(允许追溯性的产品识别,可包括照片,如适当)
-
声明上述对象符合相关欧盟协调立法
-
所使用的任何相关协调标准的参考文献,或声明符合性所依据的任何其他通用规范或网络安全认证
-
(如适用)指定机构的名称和编号、所执行的合格评定程序的描述以及所签发证书的标识
-
附加信息:代表签署: (签发地点和日期): (姓名、职务) (签名):
六、CRA的处罚、采购、成员国
一、不遵守《网络弹性法案》的基本 网络安全 要求以及第13、14条规定的义务:
可处以最高1500万欧元的行政罚款,或者如果违法者是经营者,可处以其上一财年全球总营业额最高2.5%的行政罚款(以较高者为准)。
二、不遵守第18至23条、第28条、第30条第(1)至(4)款、第31条第(1)至(4)款、第32条第(1)、(2)和(3)款、第33条第(5)款以及第39、41、47、49和53条规定的义务:
可处以最高1000万欧元的行政罚款,或者如果违法者是经营者,可处以其上一财年全球总营业额最高2%的行政罚款(以较高者为准)。
三、如果制造商或机构在向NB机构或市场监管当局提交技术文件、欧盟合格声明或测试报告时,提供了不准确或虚假的信息:
可处以最高500万欧元的行政罚款,或者如果违法者是经营者,可处以其上一财年全球总营业额最高1%的行政罚款(以较高者为准)。
四、采购
成员国应确保在采购过程中考虑到遵守本法规附件一规定的基本网络安全要求,包括制造商有效处理漏洞的能力
五、成员国
可以要求终止违规行为并消除风险,禁止或限制产品在市场上销售,或者下令撤回或召回产品。
五、CRA合规的高效策略
面对法规理解复杂、文档门槛高、跨部门协作繁琐等难点,企业可以采取以下策略:
早期差距分析:评估产品安全能力,明确改进方向。
标准驱动方法:通过EUCC、EN 18031、ISO/SAE 21434、IEC 62443、IEC 81001-5-1等标准对接CRA要求,减少重复工作。
建立安全管理体系:包括漏洞管理、版本控制、安全测试流程和应急响应机制,确保安全措施可持续实施。
专业服务机构合作:利用充分掌握CRA法案合规要求的专业团队或服务机构,加速合规进程,减少试错成本。
六、一站式安全合规服务
CRA法案对企业提出全生命周期的安全要求,从法规理解、产品安全能力建设,到文档准备和实验室协调,工作量大、流程复杂。
为此,浙江望安科技有限公司提供CRA法案全流程的一站式安全合规服务,覆盖漏洞处理、SDLC安全开发生命周期活动、标准对接、技术文档编制等全部环节。企业只需配合提供基础产品信息,其余流程均由望安专业团队负责执行。
通过这一交钥匙式服务,企业可以全身心投入产品研发,并高效完成CRA合规,顺利进入欧盟市场,实现产品安全与市场拓展的双重价值。