2024年12月10日,欧盟《网络弹性法案》(Cyber Resilience Act, CRA,法规编号(EU) 2024/2847)正式生效。这是全球首个覆盖硬件与软件全生命周期的强制性产品网络安全法规。
CRA适用于所有“带有数字元素的产品”(Products with Digital Elements)——简单来说,只要你的产品能联网、运行软件或处理数据,且销往欧盟市场,就在CRA的管辖范围内。覆盖品类包括:智能手机、平板电脑、智能手表、物联网设备、路由器、工业控制器等。
无论制造商位于哪个国家,只要产品进入欧盟市场,就必须遵守CRA。这对广大出口欧盟的国内制造商而言,影响深远。
CRA采用分阶段强制实施策略:
| 时间 | 事件 |
|---|---|
| 2026年9月11日 | 漏洞与安全事件报告义务正式生效——制造商须在24小时内报告被积极利用的漏洞和严重安全事件 |
| 2027年12月11日 | CRA所有核心义务全面实施——所有产品须满足全生命周期安全要求并加贴CE标志方可进入欧盟市场 |
当前距离2026年9月11日已不足三个月。
很多制造商存在三大误判:
误判一:时间还早。 不少人以为2027年12月才需要合规,忽略了2026年9月11日率先生效的报告义务。
误判二:只对新品负责。 报告义务适用于所有已在欧盟市场流通的产品,无论上市年份。存量产品同样需要履行报告义务。
误判三:一次渗透测试就够了。 CRA要求的是持续的全生命周期安全管理,单次测试远不足以满足合规要求。
CRA将罚则直接写入法规。违规制造商最高面临:
1500万欧元罚款,或
全球年营业额2.5% 的罚款(取较高者)
此外,不合规产品还可能面临下架、召回或限制销售等严厉处分。
简单计算:一家年营收100亿元人民币的企业,若违规,最高罚款可达2.5亿元人民币。
行动建议:立即确认你的产品是否出口欧盟,评估CRA的适用性。不要等到9月11日——届时为时已晚。
如需了解更详细的合规技术文件的支持,欢迎联系KMO科美欧实验室团队 -》 电话:+86 755-83642690 或 kmo@kmolab.com!
扫一扫,关注我们最新消息 工作时间:周一至周五 9:00-18:30
联系人:Lisa Liu
手机:18028790769
邮件:kmo@kmolab.com
地址:深圳市福田区深南中路3027号汇商中心2013-2016
