返回博客列表
CRA

CRA 协调标准解读:为什么 CRA 合规最终要靠标准来证明?

CRA 规定了企业需要满足哪些网络安全要求,但并没有详细说明如何实现。Harmonized Standards(协调标准)正在成为企业证明 CRA 合规的重要依据,也是 IoT OEM 未来需要重点关注的内容。

产品线
IoT 安全 
发布时间
2026-07-03
阅读时间
8
分钟阅读

为什么还需要协调标准?

《网络韧性法案》(Cyber Resilience Act,CRA)为在欧盟市场销售的联网产品提出了统一的网络安全要求。但 CRA 本身更多规定的是企业需要达到什么目标,并不会详细说明每项要求应该如何实施。

为了帮助企业更好地落实 CRA,欧盟委员会已委托欧洲标准组织(CEN、CENELEC 和 ETSI)制定一系列 Harmonized Standards(协调标准),为企业提供更加明确的实施参考。对于 IoT OEM 来说,这些协调标准将成为未来 CRA 合规的重要组成部分。

CRA 与协调标准有什么区别?

可以用一句话理解两者之间的关系:

  • CRA 告诉企业"需要做到什么"。
  • 协调标准告诉企业"如何证明已经做到"。

例如,CRA 要求制造商:

  • 管理网络安全风险
  • 建立漏洞管理机制
  • 提供安全更新
  • 在产品生命周期内持续保障安全

这些要求说明了企业应承担的责任,而协调标准则会进一步提供可实施、可验证的技术方法和实践参考。

为什么 IoT OEM 现在就应该关注?

很多企业认为,只要阅读 CRA 法规即可开始合规。实际上,如何证明符合 CRA 要求,同样是合规工作的重要组成部分。未来,协调标准有望成为符合性评估的重要技术依据,帮助企业更加规范地证明产品符合 CRA 要求,并支持技术文档准备、CE 标志以及监管沟通等工作。因此,对于计划进入欧盟市场的 IoT OEM 来说,现在开始了解协调标准并建立相应能力,将有助于降低后续合规成本。

合规不仅仅是增加安全功能

很多企业提到 CRA 时,首先想到的是:

  • 加密通信
  • Secure Boot
  • 身份认证

这些能力当然重要。但 CRA 更关注的是企业是否建立了持续的安全管理能力,例如:

  • 软件与固件管理
  • SBOM 管理
  • 漏洞响应流程
  • 安全更新机制
  • 生命周期技术文档

这些运营能力正逐渐成为 CRA 合规的重要组成部分,而不仅仅是产品功能。

企业现在可以做什么?

虽然许多协调标准仍在制定过程中,但企业并不需要等待标准全部发布后才开始准备。现在就可以着手建立:

  • 安全开发流程
  • SBOM 管理体系
  • 漏洞响应机制
  • OTA 更新管理流程
  • 产品全生命周期记录与技术文档

这些能力既能够提升产品安全水平,也能够帮助企业更从容地应对未来的 CRA 合规要求。

结语

CRA 明确了企业需要实现的安全目标。协调标准则为企业提供了一条更加清晰的实施路径。对于 IoT OEM 来说,未来的 CRA 合规不仅取决于产品是否具备安全功能,更取决于企业是否建立了一套能够持续运行、持续证明并持续改进的安全管理体系。

参考资料

Snowball 团队
团队成员
LinkedIn
Snowball Technology 成立于 2013 年,致力于通过可信、面向未来的安全基础设施,推动行业实现可扩展且可持续的发展。公司的核心团队来自 NXP 安全服务部门,在设备安全领域拥有十余年的深厚经验。目前,Snowball Technology 拥有超过 100 名员工,其中三分之二以上为研发人员。公司已通过 ISO 9001、ISO 14001 和 ISO 27001 等国际标准认证。