为什么需要关注 CRA Draft Guidance（指导文件草案）

2026 年 3 月，欧盟委员会发布了《Cyber Resilience Act（CRA）Draft Guidance》征求意见稿，旨在帮助企业更好地理解和落实 CRA 的具体要求。CRA 法规本身规定了企业需要履行的义务，而 Draft Guidance 则进一步解释了这些要求在实际场景中的适用方式和监管预期。对于许多 IoT OEM 而言，其中一个最值得关注的话题是：在涉及 OEM、ODM、EMS、软件供应商以及运营服务商的复杂供应链中，究竟谁应承担 CRA 下的制造商责任。这一问题的重要性在于，产品安全责任往往不仅仅取决于谁开发了某个组件，而取决于谁最终将产品推向市场并持续履行合规义务。

在欧盟《网络韧性法案》（CRA）的讨论中，企业最常提出的问题之一是：到底谁应该对合规负责？对于大多数联网产品而言，产品开发、生产和运营通常涉及多个组织共同参与。硬件可能由 ODM 设计，EMS 工厂负责生产，软件来自第三方供应商，后续运营则依赖云服务平台。当漏洞或合规问题出现时，很多企业都会问：责任究竟属于谁？CRA 对这个问题给出了相对明确的答案。

CRA 关注的是"制造商"

根据 CRA 的定义，主要责任通常由以自身品牌或商标将产品投放至欧盟市场的实体承担。在大多数情况下，这意味着 OEM 或品牌拥有者需要承担最终责任。制造商需要确保：

• 产品在整个生命周期内满足安全要求
• 建立漏洞管理机制
• 能够提供安全更新
• 保留必要的技术文档
• 在监管要求时提供合规证明

即使研发、生产或运营工作由第三方完成，这些责任通常也不会随之转移。

OEM 承担责任，但合规需要整个供应链参与

虽然 CRA 明确了制造商的责任主体，但合规并不是 OEM 单独能够完成的工作。一个典型的联网产品通常涉及：

• 芯片厂商提供芯片、SDK 及安全能力
• 模组厂商集成无线协议栈和固件
• ODM 负责硬件和软件平台开发
• EMS 工厂负责生产和设备身份配置
• 云服务商负责设备生命周期运营

这些参与方共同决定了产品最终的安全状态。因此，CRA 合规实际上依赖于整个供应链的信息共享、流程协同和运营配合。OEM 可能承担最终责任，但如果没有供应链伙伴的支持，很多合规要求根本无法落地。

真正的挑战是协同

许多关于 CRA 的讨论集中在具体技术要求上，例如：

• SBOM
• 漏洞管理
• 安全更新
• 访问控制
• 密码学保护

这些能力当然重要。但对于制造商而言，更大的挑战往往来自于跨组织协同。企业需要能够回答：

• 哪些产品版本受到漏洞影响？
• 哪些设备已经完成安全更新？
• 受影响组件来自哪家供应商？
• 企业采取了哪些措施？
• 这些措施发生在什么时间？

这些问题涉及产品生命周期中的多个组织，需要汇聚来自不同参与方的信息与操作记录。 没有任何单一团队能够独立掌握全部答案。它们需要贯穿研发、供应链、工厂和运营团队的协同管理。对于许多 IoT OEM 来说，真正的挑战已经不再是部署某项安全功能，而是让多个组织能够共同参与同一套合规流程。

从安全功能走向安全治理

CRA 体现了一种新的产品安全理念。过去，企业往往通过是否具备某些安全功能来证明产品安全。而今天，监管机构更关注的是企业如何持续管理产品安全。这意味着企业需要具备：

• 软件与设备资产管理能力
• 漏洞响应能力
• 安全更新管理能力
• 生命周期记录留存能力
• 合规活动追踪能力

合规不再只是产品安全问题。它正在逐渐演变为一个跨组织的安全治理问题。

结语

CRA Draft Guidance 进一步强调了一个重要原则：运营工作可以由多个组织共同完成，但最终责任仍然由制造商承担。

与此同时，真正的 CRA 合规离不开 OEM、ODM、EMS、软件供应商以及服务运营方之间的持续协作。对于许多企业而言，最大的挑战已经不是确定谁负责，而是建立覆盖整个产品生命周期的可见性、协同能力和治理体系。

参考资料

• 委员会发布 Draft Guidance（指导文件草案）以协助公司应用《网络弹性法》‍
• 网络弹性法（CRA）