《網絡彈性法案》（Cyber Resilience Act，簡稱CRA）是歐盟在2024年正式通過的里程碑式網絡安全立法，也是全球首部針對全品類帶數字元素產品制定統一強制安全要求的專項法規。在此之前，歐盟市場長期缺乏覆蓋消費級、工業級數字產品的通用網絡安全規則，每年因產品漏洞引發的數據泄露造成的經濟損失超過100億歐元，2022年軟件供應鏈攻擊數量更是同比激增兩倍。為填補這一監管空白，歐盟正式推出CRA，從產品設計源頭到退市全生命周期建立安全管控體系，全面提升歐盟境內數字產品的整體網絡安全水平。

一、核心立法目標是什么

CRA的出臺瞄準兩大行業痛點：一是市面上大量聯網產品原生安全能力不足、廠商停止安全更新速度過快；二是普通消費者和企業用戶很難直觀判斷一款數字產品的安全等級。法案明確四大核心目標：

1. 倒逼廠商將安全能力融入產品全生命周期，從“事后打補丁”轉向“設計即安全”

2. 建立全歐盟統一的合規框架，消除不同成員國之間的網絡安全監管壁壘

3. 提升數字產品安全屬性的透明度，讓用戶清晰知曉產品的安全支持周期

4. 補充NIS2指令等現有網絡安全法規的覆蓋盲區，形成更完整的歐盟網絡安全治理體系

二、適用范圍與豁免規則是什么

1.CRA的覆蓋邊界清晰劃定為所有在歐盟市場銷售、帶有數字元素的產品——只要產品可以直接或間接連接到其他設備或網絡，無論硬件還是軟件，都屬于監管范疇。小到幾塊錢的聯網智能玩具，大到復雜的工業控制系統、B2B商用軟件，全部納入監管清單，具體包含智能手機、智能家居設備、智能手表、微處理器、防火墻、智能電表網關等品類。 同時法案也明確了豁免范圍：已有專項行業法規覆蓋的醫療設備、民用航空器、機動車輛，以及專為安全和國防用途開發的產品，不受CRA約束。

2.非商業用途的開源軟件，以及非營利組織運營、收益全部反哺公益的開源項目，也可享受合規豁免。

三、產品分級與差異化合規要求

為平衡安全管控與行業成本，CRA按照產品的網絡安全風險等級，將所有監管對象劃分為四個層級：

• 默認類產品：普通消費級聯網設備，滿足基礎安全要求即可完成合規

• I類重要產品：包含身份管理系統、瀏覽器、密碼管理器、VPN、家用安防攝像頭等，需完成更嚴格的文檔審核

• II類重要產品：包含虛擬機管理程序、容器運行時、入侵防御系統等，必須通過第三方機構的符合性評估

• 關鍵產品：包含支付終端、智能電表網關、TPM安全模塊等帶物理防護能力的硬件，未來將強制要求通過歐盟統一網絡安全認證

四、分階段落地時間表

法案于2024年12月10日正式生效，設置了長達3年的過渡期，給企業預留充足的適配時間：

• 2026年6月11日：合規評定的公告機構正式啟動資質認定工作

• 2026年9月11日：廠商的漏洞上報、安全事件上報義務正式生效，發現被利用的高危漏洞后必須在24小時內同步給歐盟成員國CSIRT和ENISA

• 2027年12月11日：所有核心條款全面落地，新進入歐盟市場的帶數字元素產品必須全部符合CRA要求，加貼合規CE標志

五、全鏈條市場主體責任

CRA打破了過往“用戶為產品安全負責”的舊邏輯，將核心責任完全轉移給供給側廠商，同時覆蓋全流通環節：

• 制造商：責任主體，必須完成產品全生命周期安全設計，公開不短于5年的安全支持周期，在支持期內免費推送安全更新，編制符合標準的軟件物料清單（SBOM）

• 進口商：必須核驗進入歐盟市場的產品是否具備完整合規文檔和CE標志，杜絕不合規產品流入市場

• 分銷商與零售商：有義務排查在售產品的合規狀態，配合市場監管部門完成召回工作

六、處罰與執法機制

歐盟各成員國指定的市場監管機構負責本地執法，設置了分級處罰規則：

• 嚴重違規（未滿足基礎安全要求、逾期上報漏洞）：更高處以1500萬歐元，或企業上一財年全球年營業額2.5%的罰款

• 一般違規：更高處以1000萬歐元，或全球年營業額2%的罰款

• 提供虛假合規材料：更高處以500萬歐元，或全球年營業額1%的罰款 所有不合規產品將被要求強制下架、召回，相關違規信息會在全歐盟市場同步通報。

七、出海企業合規行動指南

針對布局歐盟市場的中國企業，當前階段可以從四個維度快速推進合規準備：

1. 全面梳理現有產品線，對照CRA的產品分級清單完成歸類，排查當前產品與法案要求的差距

2. 升級內部研發流程，將安全開發、漏洞測試環節嵌入產品全生命周期，建立標準化的漏洞響應和披露機制

3. 提前搭建SBOM管理體系，采用SPDX、CycloneDX等通用標準格式完成產品組件梳理

4. 提前規劃產品安全支持周期，預留足夠的技術資源保障后續5年的安全更新推送

八、全球網絡安全監管新趨勢

        CRA并非孤立的區域法規，它和澳大利亞《2025年智能設備網絡安全規則》等全球新規形成呼應，標志著全球數字產品監管正式進入“全生命周期安全管控”的新階段。出海企業需要建立全球化的合規視野，將網絡安全能力和產品設計、質量管理體系深度融合，才能在全球市場規避合規風險，構建長期競爭力。

以上資料由環測威檢測整理發布，如果對產品判定、數據整理有疑問，可以聯系專業合規CTB環測威檢測機構直接溝通（4008-707-283）協助梳理，深圳CTB檢測機構擁有自建實驗室，為廣大客戶提供各行各業的檢測認證服務，深受廣大客戶信賴。