欧盟《网络韧性法案》(CRA)详解:报告义务九月生效
欧盟《网络韧性法案》(Cyber Resilience Act,CRA,法案编号 Regulation (EU) 2024/2847)为所有在欧盟市场提供的“含数字元素的产品”设定了统一的强制网络安全要求,2024年12月10日生效、2027年12月11日全面适用,其中第14条的报告义务自2026年9月11日起就先行落地。对中国出海硬件与软件企业来说,这意味着九月之后向欧盟市场供货的联网产品,一旦发生被利用的漏洞或严重安全事件,就必须在法定时限内上报。
TL;DR
- CRA(Regulation (EU) 2024/2847)覆盖所有含软硬件且能联网的产品,包括智能摄像头、扫地机器人、工业 PLC,乃至纯云端商业软件。
- CRA 于 2024年12月10日生效,2027年12月11日全面适用;第四章合格评估机构条款自2026年6月11日起生效,第14条报告义务自2026年9月11日起生效。
- 制造商承担最重义务:网络安全风险评估、CE 标志、欧盟符合性声明、设定并公示支持期、漏洞与严重事件上报。
- 报告义务追溯适用于2027年12月11日前已投放市场的存量产品,不设豁免。
- 违反基本网络安全要求最高罚款1500万欧元或全球年营业额2.5%(取高者);其他义务违规最高1000万欧元或2%。
CRA 管什么:含数字元素的产品
CRA 是欧盟针对市场上硬件和软件产品(“含数字元素的产品”,Product with Digital Elements)的横向监管框架,涵盖最终产品和单独投放市场的零部件。只要产品包含软件或硬件、能通过网络连接,或依赖数据传输发挥功能,就落入管辖范围,例如智能摄像头、扫地机器人、工业 PLC 控制器,甚至运行在云端的纯商业软件(如 ERP 系统)。
法案要求含数字元素产品的提供者在设计、开发和生产阶段就把网络安全纳入考量,并向用户提供足够的安全信息,目的是提升欧盟内部市场的整体网络安全水平。
关键术语
含数字元素的产品(Product with Digital Elements):包含软件或硬件、且能通过网络连接的产品及其远程数据处理方案。
远程数据处理(Remote Data Processing):由制造商开发或负责、对产品实现功能至关重要的远程数据处理服务。判断核心是“不可或缺性”——如果断网会让产品主功能出现巨大缺陷,云端处理就受 CRA 管辖。例如智能音箱的语音识别若完全在厂商云端运行,断网即无法对话,该云端服务就属于远程数据处理。
经济运营者(Economic Operator):承担义务的所有主体的统称,包括制造商、进口商、分销商等。
- 制造商(Manufacturer):开发或制造产品并以其名义或商标进行市场营销的实体,承担最重的合规义务。
- 授权代表(Authorised Representative):获制造商书面授权、在欧盟境内代其执行特定任务的主体。
- 进口商(Importer):将非欧盟境内的含数字元素产品投放至欧盟市场的实体。
- 分销商(Distributor):供应链中除制造商和进口商外,使产品在欧盟市场可获得(Available)的实体。
以一款中国制造、销往德国的智能手环为例:设计生产并贴自有品牌销售的是制造商,承担最重义务;若制造商在欧盟未设实体,在柏林设办事处或聘合规代理的是授权代表;从制造商批量采购、首次将产品引入欧盟货架的德国贸易公司(如 MediaMarkt)是进口商;当地从贸易公司进货的小电器零售店是分销商,需确保包装带正确的合规标签。
开源软件管理人(Open-source Software Steward):CRA 新增概念,指为特定开源产品的开发提供持续、系统性支持的非制造商法人,例如 Apache 基金会或 Linux 基金会。这类实体不生产具体产品,但需承担一定的漏洞报告和协作义务。
公告机构(Notified Body):经成员国指定、负责执行第三方符合性评估的独立合规审核机构。因申请流程复杂,目前 CRA 公告机构尚未公布,TÜV SÜD、DEKRA、SGS / Intertek 等成为首批公告机构的可能性较高。
符合性评估(Conformity Assessment):验证产品是否满足 Annex I 基本网络安全要求的全过程。例如属于 Class II 高风险的医疗级智能监测仪,需经公告机构做穿透测试与代码审计并取得合格证明,制造商才能贴 CE 标志。
投放市场(Placing on the Market):产品在欧盟市场的首次销售或提供。在市场上提供(Making Available on the Market):商业活动中供应产品用于分销或使用的任何行为。协调标准(Harmonised Standard):由欧洲标准组织根据欧盟委员会要求制定、用于支持合规认定的技术标准。
监管执行与法律责任
市场监管部门可对特定产品或类别开展协调控制行动(扫描),检查合规情况,扫描可包括以掩饰身份的方式获取产品进行检测。当市场监督机构发现下列任一情况时,应要求制造商停止不合规行为:
- CE 标志加贴违反第29条和第30条;
- 未加贴 CE 标志;
- 尚未起草欧盟符合性声明,或声明未正确制定;
- 未加贴参与合格评定的公告机构识别编号(如适用);
- 技术文档不可用或不完整。
若不合规持续存在,成员国应采取措施限制或禁止产品销售,或确保将其召回或撤回。处罚阶梯如下:
- 违反基本网络安全要求及第13、14条义务:最高1500万欧元,企业则最高为上一财年全球年营业额的2.5%,取较高者。
- 违反第18–23条(授权代表、进口商、分销商义务)、第28条(符合性声明)、第30(1)–(4)条(CE 标志)、第31(1)–(4)条(技术文件)、第32(1)(2)(3)条(合格评定)等:最高1000万欧元或全球营业额2%,取较高者。
- 向公告机构或市场监督机构提供不正确、不完整或误导性信息:最高500万欧元或全球营业额1%,取较高者。
法案结构:八章与附录
第一章 一般规定(第1–12条):界定适用范围、关键术语,以及 CRA 与其他欧盟数字立法(如《数据法案》)的关系。当产品的预期或合理可预见用途包含与设备或网络的直接或间接数据连接时,即落入规制范围。
第二章 经济运营者义务(第13–26条)。制造商义务最重,包括:在设计、开发、生产阶段确保满足基本网络安全要求,并据此开展风险评估;对集成的第三方组件尽职调查;将风险评估与实现方式纳入技术文档并留存备查;上市前完成所选合格评估程序,成功后起草欧盟符合性声明并贴 CE 标志;设定并在购买时清晰说明产品的支持期(含起止年月);上市后就已知被积极利用的漏洞和严重安全事件,在截止时限内向主要机构所在成员国的 CSIRT 及欧盟网络安全署(ENISA)提交通知。授权代表可经书面授权执行部分任务;进口商须核验产品合规、技术文件、CE 标志,发现漏洞时通知制造商并在恢复合规前停止投放;分销商须核验 CE 标志与联系方式、说明及支持期。开源软件管理人须制定网络安全政策并配合监管,但不因违反 CRA 受罚。
第三章 一致性(第27–34条):制造商可选择自我评估(基于模块 A 的内部控制程序)、第三方合格评估,或适用的欧洲网络安全认证计划。Class I 重要产品仅在应用统一标准或认证体系时可自我评估,否则须经第三方;Class II 及关键产品必须第三方评估。免费且开源的重要产品可自我评估,但须公开技术文档。
第四章 合格评估机构公告(第35–51条):成员国须在2026年6月11日前指定负责设立、执行合格评估机构评估与通知程序的相关机构。公告机构应仅通知满足要求的合格评估机构,并按企业规模比例原则开展评估,避免给经济运营者带来不必要负担。
第五章 市场监控与执法(第52–60条):每个成员国须指定一个或多个市场监督机构确保 CRA 有效执行,并可在委员会、CSIRT、ENISA 支持下向经济运营者提供指导。
第六章 授权与委员会程序(第61–62条):授权委员会补充 CRA 或设定统一适用条件。委员会已通过两项授权法案——2025年7月29日 Regulation (EU) 2025/1535 排除某些含数字元素产品的适用;2025年11月28日 Regulation (EU) 2025/2392 细化重要和关键产品类别的技术描述。
第七章 保密与处罚(第63条):规定保密规则与侵权处罚。符合微型或小型企业资格的制造商即便未在24小时内报告漏洞和严重事件也不会被罚款;开源软件管理人违反 CRA 亦不受罚。
第八章 过渡及最终条款(第66–71条):CRA 于2024年12月10日生效,主要条款2027年12月11日适用;第四章自2026年6月11日、第14条报告义务自2026年9月11日起生效。2027年12月11日前已投放市场的产品,仅在此后发生实质性变更时才受 CRA 约束——但报告义务适用于欧盟市场上的所有含数字元素产品,包括该日前已投放市场的存量产品。
附录方面:Annex I 列出基本网络安全要求(产品属性 + 漏洞处理);Annex II 规定向用户提供的信息和说明;Annex III、IV 界定重要和关键产品(Class I 含身份与特权访问管理软硬件、浏览器、密码管理器、VPN、智能门锁/摄像头/婴儿监控等智能家居;Class II 含虚拟机监控程序与容器运行时、防火墙、入侵检测与防御系统;关键产品含带安全盒的硬件、智能电表网关、智能卡与安全元件等);Annex V、VI 提供欧盟符合性声明的模型结构及简化版;Annex VII 规定技术文档内容;Annex VIII 规定符合性评估程序(模块 A 内部控制、模块 B 欧盟型式检查加模块 C 内部生产控制、模块 H 完整质量保证等)。
参考资料
- 欧盟委员会立法摘要:https://digital-strategy.ec.europa.eu/en/policies/cra-summary
- 法案原文(CELEX 32024R2847):https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847

