新發布SkillSec:把 Skills 安全從惡意檢測,升維到能力審計SkillSec瞭解更多 →
合規解讀

歐盟 CRA 合規時間線:中國軟件出海企業的應對清單

安勢研究院·2026.06.28·2 分鐘閲讀

如果你的軟件或智能硬件賣往歐盟,《網絡彈性法案》(Cyber Resilience Act, CRA)是接下來兩年最需要認真對待的一部法規。它於 2024 年 12 月 10 日正式生效,採用分階段適用:

  • 2026 年 9 月 11 日:漏洞與安全事件報告義務生效——被積極利用的漏洞須在知悉後 24 小時內向 ENISA 提交預警,72 小時內補充通報。
  • 2027 年 12 月 11 日:法案全面適用,所有「帶數字元素的產品」進入歐盟市場都必須滿足基本網絡安全要求並完成合格評定。
  • 違規代價:最高 1500 萬歐元或全球年營業額 2.5%(取高者)的罰款,產品可被強制下架。

覆蓋範圍比想象的寬

CRA 管的是「帶數字元素的產品」——從操作系統、應用軟件、SDK,到智能家居、工業控制器、物聯網設備,凡是能直接或間接聯網的軟硬件幾乎都在內(雲服務、醫療器械等由其他法規覆蓋的除外)。對中國廠商的關鍵點:不設本地實體門檻,只要產品進入歐盟市場,製造商義務就落在你頭上。

核心義務四件套

一是安全設計(security by design):產品默認安全配置、無已知可利用漏洞出廠。二是漏洞處理流程:建立漏洞接收、修復與免費安全更新機制,支持期原則上不少於五年。三是SBOM:以機器可讀格式維護軟件物料清單,覆蓋至少頂層依賴——這是 CRA 把 SBOM 從「最佳實踐」寫成「法定要求」的標誌性條款,具體格式與生成方法可參考我們的 SBOM 完全指南。四是技術文檔與 CE 標記:完成合格評定並保存證明材料十年。

中國出海企業的六條應對清單

  • 盤產品:列出所有銷往歐盟的軟硬件,按 CRA 的「重要/關鍵產品」分類判斷適用的合格評定路徑。
  • 建 SBOM 能力:用 SCA 工具對每個產品生成並持續維護標準格式(SPDX/CycloneDX)物料清單,無源碼的外購組件用二進制成分分析補齊。
  • 清存量漏洞:「無已知可利用漏洞出廠」意味着發佈前必須完成開源與自研代碼的漏洞清零或風險評估留痕。
  • 搭報告流程:24 小時預警窗口極短,需要預先打通「發現—研判—對 ENISA 通報」的內部鏈路並演練。
  • 定支持策略:為每個產品聲明支持期,規劃至少五年的安全更新資源。
  • 留證據鏈:從威脅建模到掃描報告到修復記錄,全過程可審計——這既是應付市場監管抽查的底氣,也是出事後的免責基礎。

產品分級決定評定路徑

CRA 按風險把產品分層:絕大多數普通軟件走自我評估即可;列入「重要產品」(如操作系統、密碼管理器、VPN、防火牆、帶安全功能的物聯網設備等)的,須適用統一協調標準或引入第三方合格評定;少數「關鍵產品」(如智能卡、安全元件)要求更嚴。出海前先對照附錄判斷自家產品落在哪一層,評定路徑與成本差異很大。

關於開源的邊界,別誤讀

CRA 對開源的豁免僅限於非商業性質的開發與供給:個人或社區免費維護的開源項目本身不承擔製造商義務。但兩種常見情形不豁免——你把開源組件集成進商業產品銷售,製造商義務由你承擔(這正是 SBOM 與成分分析成為剛需的原因);你對開源軟件提供商業化支持或雙許可分發,同樣落入適用範圍。另外純 SaaS 服務本身不歸 CRA 管(屬 NIS2 範疇),但產品設備配套的遠程數據處理功能仍在 CRA 之內。

兩年聽起來寬裕,但 SBOM 體系、漏洞響應流程和五年支持承諾都不是三個月能補的課。現在啓動,時間剛好。

CRA網絡彈性法案歐盟合規SBOM出海

相關閲讀

技術解讀

SBOM 不止是合規清單:從「我用了什麼」到「我能承受什麼」

很多團隊把 SBOM 當成一份交差用的清單。但真正有價值的 SBOM,是能驅動決策的:哪些漏洞可被利用、哪條依賴該先修、哪個許可證會帶來風險。