过去几年,欧盟《网络韧性法案》(Cyber Resilience Act, CRA)更多停留在“讨论和定规则”的理论层面。但进入2025年后,情况发生了根本性转变。随着欧盟陆续发布实施细则并明确监管分工,CRA正迅速从“纸上的要求”进入“必须按其执行”的实操阶段。
对于所有制造、进口或分销带有数字功能产品(如联网设备、软件、智能硬件)的企业而言,一个关键的准备窗口期已经开启。您需要立即评估您的产品是否会被纳入更高合规要求的类别,并明确未来的漏洞披露、事件报告等义务将于何时生效。
本文将为您梳理近两个月来对企业影响最大的四个关键变化,帮助您清晰地规划应对路径。
近期,欧盟委员会通过了实施条例(EU)2025/2392,首次将CRA中较为模糊的“产品分级”概念,落实到了可执行的技术定义层面。
CRA将产品大致分为三类:一般产品、重要产品和关键产品。此前,许多从事路由器、智能家居、身份管理软件等产品开发的企业,因边界不清而难以判断自身所属类别。而本次实施条例的发布,具体阐明了“哪些产品或功能更可能被归为重要或关键类别”,为企业提供了明确的指引。
这对企业最直接的影响在于合规路径的潜在变化。一旦产品被划入更高等级(重要或关键),企业很可能无法再采用“自我评估、自行出具声明”的简化流程,而必须遵循更严格的第三方合规评估流程,这通常也意味着更高的时间与成本投入。
如果您的产品涉及联网、远程管理/更新、账号与身份认证、或接入家居/工业场景等数字能力,我们建议您立即采取行动:
将您的产品功能清单与该实施条例的分类描述进行逐条比对,初步判断产品最可能归属的等级。同时,提前进行风险评估:一旦产品被归为重要或关键类别,是否需要引入第三方评估资源,并相应调整项目排期与预算。
为了解决企业在多部法规下的重复报告负担,欧盟提出了《数字综合监管提案》(Digital Omnibus)。该提案旨在整合欧盟各项法规中重复的合规动作,并首先从网络安全事件的报告流程入手。
目前,企业面临的一大痛点是“同一事件,多头报告”。例如,一次数据泄露事件可能同时触发GDPR、NIS2和CRA等多项法规的报告义务,而各自的时限、监管机构和提交通道各不相同,导致安全团队在应急响应的同时,不得不耗费大量精力“一事三报”。
该提案释放了一个积极信号:欧盟正在正视行业的现实困难,并考虑通过建立单一报告入口(single reporting point)来协调不同法规下的事件报告流程,从而减少企业的重复提交和行政负担。
需要注意的是,这目前仍是一项提案,不代表已生效的强制要求。但它为企业提供了明确的合规准备方向:
欧盟网络安全机构(ENISA)已被正式指定为CVE项目根(CVE Program Root),这标志着其在全球漏洞编号与披露体系中的地位和职责得到了显著提升。
根据CRA框架,企业未来有义务向ENISA报告某些正在被“积极利用(actively exploited)”的漏洞。此前,业界普遍关心ENISA是否具备足够的能力来承接和协调海量的漏洞信息。
此次ENISA成为CVE项目根,意味着它不再仅仅是“接收信息的监管方”,更获得了在运营层面推动漏洞管理统一的权限。它可以在其职责范围内,协调CVE编号分配、提升记录质量并促进披露协作,从而减少当前各国、各渠道之间的碎片化状态。
简而言之,未来欧盟范围内的漏洞披露与编号流程将变得更集中、更统一、更可预期。企业在配合漏洞报告时,关于“向谁报告、如何编号、遵循何种标准”的指引将更加清晰,跨国沟通成本有望降低。
如果您的产品在欧盟市场销售,并且涉及软件/固件更新、联网服务或账号体系,我们建议您提前进行两项准备:
欧盟委员会近期更新了CRA的官方“实施事实页面”,将所有相关的参与方、配套工作以及企业可参考的资源,集中整合到一个统一入口,并明确了关键的实施时间表。
尽管CRA提供了36个月的过渡期,但对企业而言,真正的准备时间已非常紧迫。官方页面明确了两个不容忽视的关键节点:
这意味着,对大多数企业而言,“报告义务”将先于“全面合规义务”到来。因此,我们强烈建议企业不要等到2027年才开始行动,而应尽早完成产品范围的判断和内部流程的准备。
CRA已经从政策讨论阶段,稳步迈向了执行准备阶段。产品定义日趋清晰,报告路径正在统一,监管层的技术与治理能力也已同步到位。
对于企业而言,这意味着关注点必须从“了解法规”转向“执行合规”。对照明确的时间表和产品范围,系统性地评估自身的合规路径,已成为刻不容缓的任务。准备的窗口期仍然存在,但并不宽裕——越早启动准备,后续调整的成本就越可控。
作为德国认证机构,我们坚持最高的质量与专业标准,以德国认证标准为根基,结合中国本地服务,树立行业标杆。
