网络安全弹性法案指南

网络弹性法案（CRA）是一项欧盟法规（欧盟法规（EU）2024/2847），要求数字产品制造商在整个产品生命周期内证明其网络安全弹性，重点关注基于风险的合规性和透明度。

适用产品范围包括：

• 消费级物联网设备，例如智能家居用品（如恒温器、摄像头、音箱和灯具）、可穿戴设备（如智能手表和健身追踪器），以及联网家用电器（如智能冰箱和洗衣机）；
• 网络硬件，包括路由器、调制解调器、防火墙和网络交换机；
• 适用于桌面端和移动端平台的操作系统及软件应用程序，例如杀毒工具、办公生产力套件和网页浏览器；
• 工业控制系统（ICS）的组件，例如带有数字接口的可编程逻辑控制器（PLCs）、传感器和执行器（除非受特定行业法规约束）；
• 网络安全工具，包括虚拟专用网络（VPN）客户端和安全网关；
• 其他智能或联网设备，例如智能电表、打印机、智能玩具和智能音箱。

不适用产品范围包括:

• 非商业产品：未进行商业营销或销售的数字工具；
• 非盈利性开源软件：无商业意图共享的免费开源软件（FOSS）；
• 定制软件：专门为特定客户或内部使用而开发、未投放通用市场的软件；
• 国防及机密系统：受国家或机密法规约束的军事和政府系统；
• 服务类产品（如独立软件即服务）：仅提供服务的产品（如软件即服务SaaS）归属于《网络与信息系统安全指令2》（NIS2）管辖，而非网络弹性法案（CRA）；
• 完全排除的行业（受其他欧盟法规管辖）：   
  • 受《医疗器械法规》（MDR）和《体外诊断医疗器械法规》（IVDR）管辖的医疗器械及相关软件；
  • 受欧洲航空安全局（EASA）法规管辖的飞机系统；
  • 受联合国R155/欧盟法规2019/2144管辖的汽车系统。

由专家主导，对照网络弹性法案（CRA）的要求，对您现有的安全政策、流程和产品开发生命周期进行差距分析，以识别风险、不合规之处以及可执行的合规步骤。

无论您所处行业或产品安全开发现状如何，流程都将成为证明网络安全弹性法案（CRA）合规性的关键要求。我们的CRA流程框架提供了一种标准化方法，可在整个产品生命周期内系统地管理合规性，整合主动预防、流程记录和持续监控机制。

UL Solutions的参与程度可根据您的需求灵活调整、按需扩展。我们的咨询与交付服务团队将在整个准备过程中为您提供支持，协助您深入理解CRA法规、识别潜在不足或问题，并向您传授常见的最佳实践，以简化您的CRA合规流程与工作流。同时，我们的实验室和审核团队将在评估、合格评定和认证方面提供专业支持，助力您证明自身是否符合CRA法规要求。

CRA的目的是解决数字产品（硬件和软件）网络安全水平不足以及安全更新不及时的问题，其前身主要基于《无线电设备指令》第3.3（d）、（e）和（f）条。该法案重点关注在产品整个生命周期内保护消费者和企业免受网络威胁与漏洞的影响。CRA的实施旨在减少产品漏洞（包括产品上市时的漏洞以及持续的漏洞管理）、提高产品安全透明度，并将网络安全责任从用户转移至制造商，进而延伸至其供应链。通过CE标志，该法案帮助采购方做出明智选择，并增强欧盟数字单一市场抵御网络攻击的整体韧性。

如需培训、研讨会或技术支持，请联系我们

违反CRA可能会导致巨额行政罚款：违反核心网络安全要求的，最高可处以1500万欧元罚款，或全球年营业额的2.5%；其他违规行为最高可处以1000万欧元罚款，或营业额的2%；向当局提供虚假或不完整信息的，最高可处以500万欧元罚款，或营业额的1%。此外，当局可要求企业纠正安全漏洞，并限制或召回不合规产品。

该法规还对制造商（及其供应链）、进口商和分销商施加了持续义务，要求其证明产品安全性、保存技术文档、及时报告漏洞，并配合国家市场监督当局的工作。这些措施由国家监督当局执行，旨在统一网络安全标准，加强欧盟境内含数字元素产品的整体安全性。

CRA适用于所有被定义为含数字元素产品的硬件和软件的制造商（包括其供应链和远程处理合作伙伴）、进口商和分销商。这一定义涵盖所有联网产品，无论其是直接还是间接与其他设备或网络连接。

CRA既涵盖付费销售的产品，也包括作为商业活动一部分免费提供的产品（如开源软件）。制造商对其产品在整个生命周期内符合CRA网络安全要求负有主要责任，但进口商和分销商在将产品投放欧盟市场前也必须验证其合规性。不过，也存在一些例外情况，例如已受欧盟特定行业法规监管的产品。