2025年10月15日,必维电子电气网络安全经理裘健先生受邀参加由TIC国际检验检测认证理事会主办、上海市浦东新区市场监督管理局与中国(上海)自由贸易试验区管理委员会金桥管理局大力支持的“助力企业出海——欧盟网络弹性法案(CRA)合规路径培训”活动完美落幕。活动当天,裘健先生为各位来宾带来了《欧盟网络安全韧性法案-通用安全要求》的精彩演讲,为帮助出海欧盟市场的设备制造商在相关条款强制生效前及时做好合规准备。
欧盟网络弹性法案(CRA)
其英文全称是 Cyber Resilience Act,2024年12月已正式生效,2026年9月11日对制造商实现漏洞披露与漏洞管理的第一批强制,2027年的12月11日将实现所有条款的全面强制。CRA法案针对制造商、分销商和进口商,目标是提高欧盟内带有数字元素的产品的网络安全性,保护使用这些产品的欧盟消费者免受网络安全威胁。在这些产品进入欧盟内部市场前,CRA通过减少其在整个生命周期中的硬件和软件漏洞,确保其具有更高的安全性。
覆盖范围
硬件产品: 这包括日常用品,例如智能手机和笔记本电脑,以及工业机械和联网玩具等。
软件: 涵盖操作系统和任何与网络或设备交互的操作软件。无论是运行智能音箱还是控制工厂机器人的软件都适用。
在CRA的要求下,制造商需履行漏洞汇报等强制要求,否则将面临最高1500万欧元或上一财年全球营业额2.5%的行政罚款(以较高者为准)。例如,当发现产品存在漏洞时,制造商需在24小时内发出预警、72小时内提交漏洞通知,并在14天内补交最终报告;如遇严重事件,还必须在一个月内提交详细报告。对于希望在欧盟市场长期发展的企业而言,提前了解并落实CRA的规定已成为不可或缺的战略任务。