欧盟《网络韧性法案》概览：IoT OEM 必须了解的监管变化

为什么 CRA 改变了整个监管格局

过去，欧盟的网络安全监管体系一直是碎片化的：

• GDPR 规范个人数据处理。
• NIS2 规范关键与重要实体。
• RED 与 EN 18031 适用于无线电设备。
• 医疗、汽车、航空和海事等行业则分别适用各自的专项法规。
  

真正缺失的，是一部覆盖“联网产品本身”全生命周期安全性的横向法规。CRA 改变了这一点。它广泛适用于所有投放欧盟市场的“具有数字元素的产品”，包括消费级 IoT、工业设备、企业软件以及云连接系统。虽然存在部分豁免，但范围相对有限。对于大多数 IoT OEM 而言，CRA 将成为约束产品本身网络安全的核心法规。

CRA 关注的是“结果”，而不是具体技术

CRA 不会直接规定必须使用 AES-256、TLS 1.3 或某种特定硬件架构。因为同一部法规需要同时适用于：

• 消费级设备
• 工业系统
• 企业软件
• 云连接产品
  

因此，CRA 定义的是安全结果，而不是具体实现方式。更具体的技术要求，将通过 EN 18031、ETSI、IEC 等协调标准逐步落地。实际可以理解为：

• CRA 定义“必须达到什么”
• 协调标准逐渐定义“应该如何实现”
  

OEM 必须理解的 CRA 三个核心部分

CRA 的核心约束主要集中在三个部分。

1. 附录 I —— 核心网络安全要求

规定产品本身必须具备：

• 默认安全配置
• 漏洞处理能力
• 安全更新能力
• 访问控制
• 攻击面缩减
• 完整性保护
  

2. 第 13 条与第 14 条 —— 制造商义务

规定 OEM 在产品生命周期内必须持续运营的能力，包括：

• 安全更新
• 漏洞处理
• 事件上报
• 协同漏洞披露
  

3. 附录 VII —— 技术文档要求

规定：

• 必须保留哪些记录
• 记录需要保存多久
• 市场监管机构有权调取哪些内容
  

CRA 已于 2024 年生效，但真正的执行是分阶段进行的

CRA 于 2024 年 12 月 10 日正式生效，但实际运营义务会逐步启动。

两个关键生效时间

这两个时间点并不是重复的。2026 年 9 月启动的是漏洞上报时钟，包括：

• 24 小时预警
• 72 小时正式通知
• 修复完成后的最终报告
  

2027 年 12 月则是市场准入门槛：新上市产品必须满足完整 CRA 合规要求。

从 2027 年 12 月开始，两套要求会同时运行。

OEM 必须长期面对的三个时间要求

除了生效时间外，CRA 还定义了三个长期运营周期。

1. 五年 —— 安全支持周期

CRA 第 13(8) 条要求：

• 至少五年的安全支持
• 或者产品预期寿命较短时，以实际寿命为准
  

对于大多数 IoT 产品而言，这实际上意味着五年的安全维护责任。

2. 24 小时 —— 漏洞上报时限

CRA 第 14 条要求：

• 24 小时内完成预警
• 72 小时内提交正式技术通知
• 修复措施可用后 14 天内提交最终报告
  

而且：时钟从 OEM “已经知道”或“合理情况下应当知道”漏洞存在时开始计时。

3. 十年 —— 文档保留义务

附录 VII 要求：

产品最后一次投放欧盟市场后，相关技术文档仍需保留十年。

这一点经常被低估。

例如：如果某产品持续销售到 2032 年，那么相关文档可能需要保留到 2042 年。

CRA 的上报时钟比很多 OEM 想象得更严格

对于很多组织而言，24 小时上报要求是 CRA 最具冲击力的部分。根据 CRA 第 14 条，一旦发现被主动利用的漏洞：

严重安全事件也适用类似流程。而且，这些时限以自然时间计算。时区、周末、节假日或供应商延迟，都不会暂停时钟。

“Becoming aware” 是 CRA 中最重要的短语之一

CRA 并不会狭义理解“知道”。监管机构普遍被认为会将：

“becoming aware”

解释为：OEM 在合理情况下“本应知道”。

这意味着：

• 不监控 NVD
• 忽略供应商安全公告
• 缺乏漏洞接收能力
  

都可能无法成为有效理由。对于工程团队而言，问题不再是：

“我们是否看到了漏洞告警？”

而是：

“我们是否本应看到这个告警？”

因此，漏洞监控本身会变成：

• 一项运营能力
• 一项合规能力
• 一项法律风险边界
  

CRA 将责任明确绑定到 CE 标志持有方

CRA 将责任绑定到：

持有 CE 标志的制造商。

而不是：

• 芯片供应商
• OTA 服务商
• 云平台
• 代工厂
  

并且，这项责任无法通过合同转移。供应商协议可以重新分配商业风险，但无法转移监管责任。这一点与企业所在地无关。从深圳向欧盟出口产品的制造商，与位于慕尼黑的制造商，承担的是相同 CRA 风险。

罚款只是风险的一部分

CRA 的处罚结构与 GDPR 高度类似。

但对很多 OEM 而言，更大的风险其实来自运营层面。CRA 赋予市场监管机构权力：

• 限制销售
• 要求整改
• 要求产品下架
• 发起召回
• 撤销 CE 标志
  

实际中，召回物流、渠道影响、重新认证以及下游合同违约，往往比罚款本身代价更高。

CRA 实际上划出了三条红线

无论供应商合同如何约定：

1. OEM 不能以“不知道”为理由免责

“Becoming aware” 包括 OEM 在合理情况下“本应知道”的内容。

2. OEM 不能通过合同转移责任

商业协议无法转移监管责任。

3. OEM 不能等待供应商后再行动

OEM 的上报时钟独立于供应商时间线运行。

CRA 正在成为全球产品安全监管的参考基线

CRA 不只是欧盟问题。它正在逐渐成为全球产品网络安全监管的发展方向。类似框架已经出现在：

• 英国
• 美国
• 日本
• 新加坡
• 澳大利亚
  

虽然各国在范围与执行力度上有所不同，但整体方向正在趋同：

• 生命周期责任
• 漏洞披露
• 安全更新能力
• 供应链可见性
• 产品责任追溯
  

CRA 为什么在全球范围内如此特殊

相比其他产品安全框架，CRA 有三个特别之处。

1. 覆盖范围极广

CRA 同时覆盖：

• 消费级 IoT
• 工业系统
• 企业软件
• 连接基础设施
  

而多数法规只覆盖其中一部分。

2. 生命周期义务具有强制性

CRA 明确要求：

• 漏洞处理
• 协同披露
• 安全更新能力
• 最低支持周期
  

而很多其他标准仍然是自愿性质或行业限定。

3. 强制性的时间要求

CRA 引入了明确的法律时限：

• 24 小时
• 72 小时
• 最终修复报告
  

很少有其他框架具备类似强制时钟。

CRA 并不是要求 OEM 做完全新的安全工作

对于很多成熟组织而言，CRA 本质上是在将原本已经存在的安全实践法律化，例如：

• 漏洞管理
• OTA 更新
• 安全事件响应
• 生命周期文档
• 供应链治理
  

这些能力现在变成了：

• 可审计
• 可强制执行
• 有明确时限
• 需要承担法律责任
  

今天开始准备 CRA 的 OEM，其实是在准备未来十年的全球监管趋势

今天围绕 CRA 建立体系，并不仅仅是在准备欧盟合规。本质上，是在为未来十年的全球产品网络安全监管趋势做准备。随着 2026 年 9 月截止日期的临近，那些率先建立以下能力的 OEM，很可能成为最先获得监管机构、客户及采购体系信任的一批企业：

• 生命周期可见性
• 漏洞治理能力
• 更新可追溯性
• 供应链责任体系
  

本文基于 Snowball 对 CRA 法规文本以及 EC/ENISA 指导文件截至 2026 年 4 月的理解，不构成法律意见。