欧盟 CRA 合规时间线:中国软件出海企业的应对清单
如果你的软件或智能硬件卖往欧盟,《网络弹性法案》(Cyber Resilience Act, CRA)是接下来两年最需要认真对待的一部法规。它于 2024 年 12 月 10 日正式生效,采用分阶段适用:
- 2026 年 9 月 11 日:漏洞与安全事件报告义务生效——被积极利用的漏洞须在知悉后 24 小时内向 ENISA 提交预警,72 小时内补充通报。
- 2027 年 12 月 11 日:法案全面适用,所有“带数字元素的产品”进入欧盟市场都必须满足基本网络安全要求并完成合格评定。
- 违规代价:最高 1500 万欧元或全球年营业额 2.5%(取高者)的罚款,产品可被强制下架。
覆盖范围比想象的宽
CRA 管的是“带数字元素的产品”——从操作系统、应用软件、SDK,到智能家居、工业控制器、物联网设备,凡是能直接或间接联网的软硬件几乎都在内(云服务、医疗器械等由其他法规覆盖的除外)。对中国厂商的关键点:不设本地实体门槛,只要产品进入欧盟市场,制造商义务就落在你头上。
核心义务四件套
一是安全设计(security by design):产品默认安全配置、无已知可利用漏洞出厂。二是漏洞处理流程:建立漏洞接收、修复与免费安全更新机制,支持期原则上不少于五年。三是SBOM:以机器可读格式维护软件物料清单,覆盖至少顶层依赖——这是 CRA 把 SBOM 从“最佳实践”写成“法定要求”的标志性条款,具体格式与生成方法可参考我们的 SBOM 完全指南。四是技术文档与 CE 标记:完成合格评定并保存证明材料十年。
中国出海企业的六条应对清单
- 盘产品:列出所有销往欧盟的软硬件,按 CRA 的“重要/关键产品”分类判断适用的合格评定路径。
- 建 SBOM 能力:用 SCA 工具对每个产品生成并持续维护标准格式(SPDX/CycloneDX)物料清单,无源码的外购组件用二进制成分分析补齐。
- 清存量漏洞:“无已知可利用漏洞出厂”意味着发布前必须完成开源与自研代码的漏洞清零或风险评估留痕。
- 搭报告流程:24 小时预警窗口极短,需要预先打通“发现—研判—对 ENISA 通报”的内部链路并演练。
- 定支持策略:为每个产品声明支持期,规划至少五年的安全更新资源。
- 留证据链:从威胁建模到扫描报告到修复记录,全过程可审计——这既是应付市场监管抽查的底气,也是出事后的免责基础。
产品分级决定评定路径
CRA 按风险把产品分层:绝大多数普通软件走自我评估即可;列入“重要产品”(如操作系统、密码管理器、VPN、防火墙、带安全功能的物联网设备等)的,须适用统一协调标准或引入第三方合格评定;少数“关键产品”(如智能卡、安全元件)要求更严。出海前先对照附录判断自家产品落在哪一层,评定路径与成本差异很大。
关于开源的边界,别误读
CRA 对开源的豁免仅限于非商业性质的开发与供给:个人或社区免费维护的开源项目本身不承担制造商义务。但两种常见情形不豁免——你把开源组件集成进商业产品销售,制造商义务由你承担(这正是 SBOM 与成分分析成为刚需的原因);你对开源软件提供商业化支持或双许可分发,同样落入适用范围。另外纯 SaaS 服务本身不归 CRA 管(属 NIS2 范畴),但产品设备配套的远程数据处理功能仍在 CRA 之内。
两年听起来宽裕,但 SBOM 体系、漏洞响应流程和五年支持承诺都不是三个月能补的课。现在启动,时间刚好。
