CRA 实施倒计时！上报义务即将生效，欧盟合规迎来新变局

欧盟《网络弹性法案》（以下简称’CRA’）是面向欧盟市场数字化产品的强制性网络安全法规，覆盖物联网、智能家居、消费电子、工控及网络通信设备等品类，对出口欧盟的制造企业影响深远。法案要求企业兼顾产品上市前安全设计，以及上市后的漏洞管理、应急响应与安全更新，构建全生命周期网络安全管控体系。

CRA于2024 年 12 月 10 日正式生效，将分阶段强制实施：

• 2026年9月11日：制造商安全事件与高危漏洞上报义务生效，需 24小时内通报。
• 2027年12月11日：CRA所有核心义务全面实施，新产品须满足全生命周期安全要求并加贴CE标志

---

其中关于制造商上报义务的部分，依据 (EU) 2024/2847 Article 14，当制造商发现如下情况时，需在规定时间内向欧盟相关机构进行分阶段通报：

• 产品中存在被积极利用的漏洞
• 发生对产品安全产生影响的严重事件

一、漏洞上报要求

当制造商获悉产品漏洞已遭到实际攻击利用时，需遵照下述流程开展工作：

1. 早期预警

应在24小时内发出早期预警，再逐步完善信息，内容通常包括：

• 受影响产品
• 涉及的欧盟成员国 

2. 漏洞通知

在72小时内，需进一步提交：

• 所涉及产品的一般信息
• 所涉漏洞的利用方式及性质
• 已采取的缓解措施 
• 用户可采取的纠正或缓解措施
• 制造商判定所通报信息的敏感程度

3. 最终报告

漏洞修复完成后的14天内，需提交最终技术报告，至少包括：

• 漏洞描述与严重程度 
• 可提供利用该漏洞的恶意行为者的信息
• 修复方案或安全更新详情 

二、安全事件上报要求

当制造商获知发生对产品安全产生影响的严重事件时，需遵照以下流程开展处置工作：

1. 早期预警

应在24小时内发出早期预警，再逐步完善信息，内容通常包括：

• 事件是否由非法或恶意行为导致 
• 受影响产品 
• 涉及的欧盟成员国 

2. 事件通知

在72小时内，需进一步提交：

• 有关事件性质的一般信息
• 对事件的初步评估 
• 已采取的缓解措施 
• 用户可采取的纠正或缓解措施
• 制造商判定所通报信息的敏感程度

3. 最终报告

在事件通知后的一个月内，需提交最终报告，至少包括：

• 事件详细分析 
• 事件严重程度和影响
• 触发该事件的威胁类型或根本原因
• 已采取的缓解措施 

三、报告对象

CRA要求制造商需通过欧盟单一报告平台（SRP）进行统一的上报，并同步通知：

• 欧盟网络与信息安全局（ENISA） 
• 计算机安全事件响应小组（CSIRT） 

四、企业面临的变化与应对

CRA 所有条款将于 2027 年 12 月 11 日全面落地。新规要求制造商对产品全生命周期承担网络安全责任，改变了以往仅完成上市前单次合规检测的模式。

为应对市场准入要求、规避监管风险，企业需提前搭建完善的网络安全管理体系，重点完善以下能力：

• 产品安全事件响应团队（PSIRT）建设
• 漏洞与威胁情报监测能力
• 漏洞分级与修复机制
• 安全更新与补丁发布流程
• 第三方组件/SBOM管理
• 合规文档留存与审计能力

五、INTERTEK 助力企业实现 CRA 合规

依托完备的网络安全服务体系与专业技术能力，Intertek 可为企业提供一站式 CRA 合规解决方案，与企业紧密配合，完成合规筹备、测试认证与市场准入工作：

• 前期咨询：法规&标准解读，风险评估，制定合规计划，Article 14 预评估
• 测试阶段：本地团队全程支持，技术文档模板分享，协助搭建安全管理体系
• 发证阶段：NB申请全流程辅导，合规文档审核支持，高市场认可度

拨打400 886 9926，了解更多Intertek网络安全服务！