根据CRA要求,制造商必须承担三大义务:
建立持续的漏洞监控机制,覆盖所有已售产品
在获悉漏洞或事件后,按24/72小时/14天(或1个月) 的时限完成报告
确保产品在至少5年的法定支持期限内能有效应对安全威胁
在产品设计、开发和生产阶段确保适当的网络安全水平
禁止投放含有已知可利用漏洞的产品
开展网络安全风险评估,并在产品全生命周期持续更新
需求、架构、实作与测试之间必须具备双向追溯性与一致性
建立并执行协调漏洞披露(CVD)政策,提供单一联系点接收漏洞报告
在产品支持期内免费提供安全更新,默认启用自动更新
安全更新发布后须至少保留10年或支持期剩余时间(以较长者为准)
维护完整的技术文档(含风险评估报告、SBOM、安全设计说明等)
CRA依据产品关键程度划分等级,不同等级对应不同的合规路径:
| 产品类型 | CRA分类 | 合规路径 |
|---|---|---|
| 智能手机、平板电脑、消费级智能手表、大多数物联网设备 | 默认产品 | 自我评估 + 自我声明 |
| 智能门锁、路由器等 | 可能为重要产品 | 可能需要第三方评估 |
约90%的含数字元素产品属于默认类别,可通过自我评估完成合规。但需注意——即使采用自我评估,若提供错误、不完整或具误导性的信息,仍面临高额罚款风险。
行动建议:立即清查产品线,确认每款产品的CRA风险分类,并着手建立安全开发流程与漏洞管理体系。
如需了解更详细的合规技术文件的支持,欢迎联系KMO科美欧实验室团队 -》 电话:+86 755-83642690 或 kmo@kmolab.com!
扫一扫,关注我们最新消息 工作时间:周一至周五 9:00-18:30
联系人:Lisa Liu
手机:18028790769
邮件:kmo@kmolab.com
地址:深圳市福田区深南中路3027号汇商中心2013-2016
