Oct 23, 2025
欧盟《网络弹性法案》CRA是一个法律框架,它描述了欧盟市场上投放的具有数字元素的硬件和软件产品的网络安全要求。 CRA将于2027年12月11日起强制执行,其中制造商对事件和漏洞的报告义务相关的要求将于2026年9月起强制执行。预计从CRA强制实施日起,当前RED指令中的网络安全条款将退出。
作为独立管控网络信息安全的CE标识法规,CRA管控的产品更加广泛,所有包含数字元素的产品,如果其预期的用途或可合理预见的使用方式有包括与设备或网络建立直接或间接的逻辑或物理数据连接,不管是硬件还是软件,单独出售或是嵌入式产品,都在CRA的管控范围。
具体而言,带有数字元素的产品,如以下例举的终端设备、软件、组件等:
终端设备
- 笔记本电脑
- 智能手机
- 传感器和相机
- 智能机器人
- 智能卡
- 智能电表
- 移动设备
- 智能扬声器
- 路由器
- 交换机
- 工业控制系统
软件
- 固件
- 操作系统
- 移动应用程序
- 桌面应用程序
-视频游戏
组件(硬件和软件)
- 计算机处理单元
- 视频卡
- 软件库
不属CRA范围的产品:
医疗、体外诊断)、交通、航空、海事等各有其独立法规的设备, 以及免费和开源软件、云端服务软件等不在CRA管控范围。
CRA 是一项CE标识法规,意即: 凡是CRA涵盖的产品,从强制执行之日起,进入欧盟市场之前,制造商应确保产品在符合原先适用的如低电压,电磁兼容、无线等指令的同时也满足CRA的要求才能在产品上使用CE 标识以合规进入欧盟市场。
那么《网络弹性法案》作为CE标识法规,对产品技术都有哪些具体的要求? 可以用哪些标准来评估?是否必须使用NB机构发证?作为制造商应承担哪些符合性及售后义务? 符合了RED指令中的网络信息安全要求,是否等于满足了CRA的要求?
10月29日下午,欢迎您来我们的研讨会,Nemko网络安全专家为您系统讲解并答疑解惑。请点击此处报名界面。