第三方组件，第一方责任：CRA 如何重塑 OEM 与供应商关系

现代 IoT 产品很少完全由单一公司独立开发。蜂窝通信模块、无线调制解调器、连接协议栈以及安全组件，通常由专业供应商开发，再由 OEM 集成为最终产品。CRA 在制定时已经考虑到了这种供应链结构。它并不要求 OEM 接管供应商内部的安全运营工作，但它会将所有被集成的组件视为同一产品的一部分，而这个产品只对应一个最终负责的制造商 —— 即将产品投放市场的 OEM。而这，正是如今许多 IoT OEM 在 CRA 下真正面临的核心矛盾。

产品线

IoT 安全

发布时间

2026-04-28

阅读时间

分钟阅读

核心要点

OEM 与模块供应商都可能属于 CRA 下的“制造商”，但最终产品责任不会转移。
CRA 对 OEM 有三项不可回避的要求：SBOM、漏洞处理机制以及至少五年的安全支持承诺。
OEM 是否能够满足 CRA，往往取决于供应商是否愿意提供 SBOM 可见性、漏洞协同能力以及长期支持能力。
OEM 产品生命周期与模块供应商支持周期不匹配，是 CRA 下最困难的运营问题之一。
越早建立供应链可见性、模块可替换能力以及供应商治理机制，长期运营成本越低。

CRA 实际要求 OEM 做什么

对于 IoT OEM 而言，CRA 的供应链责任最终集中在六个方面。其中五项在法规中定义相对明确，另一项 —— 供应商尽职调查（due diligence）—— 则仍然保留较大解释空间，并很可能在后续实施细则与监管实践中逐渐明确。这一点非常重要。因为：

明确写入法规的内容，今天已经具备法律约束力
尚未完全明确的部分，则意味着 OEM 需要按照“最严格合理解释”提前建立能力

CRA 的六项核心要求

CRA 要求	实际运营含义
第三方组件尽职调查	OEM 需要证明自己评估过所集成组件的安全性，而不仅仅是相信供应商宣传材料
产品级 SBOM	OEM 必须维护机器可读的产品级 SBOM；仅列出模块名称通常并不足够
漏洞上报与修复	集成组件中的漏洞需要向上游报告，并在产品中完成修复
CRA 第 14 条上报义务	一旦 OEM 已知，或“合理情况下应当知道”漏洞存在，上报时钟即开始计时
持续漏洞处理与安全更新能力	漏洞发现、接收、处理与修复能力需要在整个支持周期中持续运行
至少五年的安全支持义务	对多数 IoT 产品而言，CRA 实际上要求至少五年的支持周期，无论供应商生命周期是否匹配

CRA 文本定义的是法律底线。在此基础上，ENISA 指导文件、欧盟委员会建议以及 EN 18031 标准，正在逐渐形成新的监管预期，包括：

SBOM 深度
协同漏洞披露
供应商风险评估
生命周期治理

CRA 下 OEM 面临的现实

当 OEM 将第三方连接模块集成进产品时，CRA 会将其视为：

一个产品，一个最终责任主体。

如果模块供应商本身也直接向欧盟市场销售模块，那么它同样可能属于 CRA 下的制造商。但最终产品责任仍然属于 OEM。

OEM	模块供应商
对最终产品负责	对模块本身负责
必须维护产品级 SBOM	维护模块内部 SBOM
负责产品级漏洞上报与修复	负责模块级漏洞修复
控制现场设备更新	只能向 OEM 提供补丁
需要持续评估供应商风险	需要管理自身供应链

这带来了一个现实问题：OEM 的合规能力，往往高度依赖供应商配合。但 CRA 并不会因此降低 OEM 的责任。

为什么供应商合同会变得极其重要

OEM 无法：

自行生成模块内部 SBOM
独立修复模块固件
控制供应商漏洞披露节奏

因此，供应商合同会成为：

CRA 责任与 OEM 实际执行能力之间的运营桥梁。

越来越多的供应商协议需要明确：

SBOM 提供格式与深度
漏洞通知 SLA
漏洞披露时间要求
安全更新责任
生命周期支持承诺
协同漏洞披露流程

这些内容不能再依赖默认理解，而需要明确写入合同。

最困难的问题：支持周期不匹配

CRA 第 13(8) 条要求至少五年的安全支持周期。但模块供应商的产品路线图通常独立于 OEM 产品生命周期。这意味着：OEM 产品仍处于 CRA 支持周期内时，模块供应商可能已经停止支持。这是 CRA 带来的最困难运营问题之一。

当供应商先停止支持后，会发生什么

此时 OEM 通常只剩下三种昂贵选择：

1. 缩短产品支持承诺

法律上可能成立，但从长期监管角度看风险会越来越高。

2. OEM 自行维护模块固件

通常并不可行。OEM 往往无法获得源码，也无法真正长期接管模块攻击面。

3. 现场替换硬件

架构上最干净，运营上最昂贵。因为这通常意味着：

重新认证
现场物流
硬件替换计划
大规模客户协调

为什么越来越多 OEM 开始设计“模块可替换性”

为了降低 CRA 下的长期风险，越来越多 OEM 开始在产品设计初期就加入：

可替换模块接口
硬件抽象层
模块化认证边界
可升级硬件架构

原因很简单：在早期阶段为“可替换性”进行设计，远比后期围绕生命周期约束进行重构成本低得多。

CRA 为 OEM 划出的三条红线

无论供应商合同如何约定，有三项责任 OEM 无法转移。

1. OEM 不能以“不知道”为理由免责

根据 CRA 第 14 条，“becoming aware”不仅包括“已经知道”，还包括 OEM “合理情况下应当知道”。如果某个模块内部软件组件的 CVE 已经公开存在于 NVD 中，监管机构未必会接受：

“供应商还没有通知我们”

作为延迟行动的理由。

2. OEM 不能通过合同转移监管责任

即使供应商协议中写明“供应商负责 CRA 合规”，这也只能转移商业责任，而无法转移监管责任。监管机构最终追责的仍然是 OEM。

3. OEM 不能等供应商补丁发布后才开始行动

OEM 在 CRA 第 14 条下的报告义务，是按照 OEM 自身的法定时限计算的。如果供应商需要六周才能提供补丁，而 OEM 在六周后才开始履行报告义务，那么合规风险实际上从第一天就已经产生，而不是第六周。

OEM 现在真正应该优先做什么

真正的问题已经不再是：

“未来应该逐步做哪些事情？”

而是：

“哪些能力必须在 2026 年之前建立完成？”

第一层：CRA 已经明确要求的能力

以下三项已经构成最低运营基线。

1. 产品级 SBOM

建议采用：

SPDX
CycloneDX

仅满足“顶层依赖”很快就会变得不够。

2. 漏洞处理与 CVD 能力

至少需要包括：

公开漏洞提交入口
内部处理流程
在整个支持周期内持续可用的安全更新机制

三者缺一不可。

3. 五年支持能力

真正困难的，并不是承诺“五年”。而是供应商是否真的能够在运营上支撑五年。

第二层：监管趋势与行业实践正在推动的能力

这些能力虽然尚未被 CRA 明确强制要求，但已经逐渐成为明显监管预期。

1. 设备级可见性

OEM 越来越需要能够回答：

“哪些已部署设备运行着哪些模块固件版本，以及它们受到哪些已知 CVE 影响？”

如果缺乏这种可见性，CRA 第 14 条时钟可能已经开始，而 OEM 甚至还无法确定影响范围。

2. 独立漏洞监控

OEM 不能完全依赖供应商通知。最低限度通常包括监控：

NVD
供应商安全公告
CERT 告警

3. 供应商风险评估

在集成之前，OEM 越来越需要对以下内容形成可审计评估：

CRA 准备情况
补丁发布节奏
SBOM 能力
生命周期支持能力

4. 协同漏洞披露流程

OEM 与供应商需要在事故发生前提前明确：

披露时间
embargo 管理
联合发布流程

如果时间有限，什么最优先？

对于多数 OEM：

第一优先级：SBOM 和 CVD 政策
第二优先级：设备级可见性和独立漏洞监控
第三优先级：供应商协议与 SLA

因为真正依赖基础设施建设的能力，往往最需要时间。

一个问题决定你的体系是否真的准备好了

组织是否能够在 48 小时内回答下面这个问题：

“这台设备当前运行的是哪个模块固件版本？它受到哪些已知漏洞影响？”

如果不能，那么整个运营合规体系很可能仍然不完整。

CRA 改变的不是 IoT 产品如何构建

CRA 并不会根本改变 IoT 产品的工程实现方式。它改变的是：

谁对最终产品的安全结果承担责任。

那些能够在 2026 年 9 月之前真正建立供应链可见性的 OEM，很可能会成为最先获得监管机构、客户以及采购体系信任的一批企业。

Bob Jiang

联合创始人兼总裁

联合创立了 Snowball Technology，旨在为 IoT OEM 厂商提供行业长期缺失的一项能力：一个统一的平台，用于在联网设备的整个生命周期内，对其所依赖的数字资产进行管理与治理——包括密钥、证书、固件、安全配置以及 SBOM（软件物料清单）等。