SBOM是满足24小时报告时限的前提条件。
怎么做:
为所有出口欧盟的产品生成完整的SBOM,采用SPDX或CycloneDX等国际标准格式
建立SBOM动态更新机制,随产品版本迭代同步更新
将SBOM与漏洞数据库(如CVE)关联,实现自动化漏洞追踪
怎么做:
制定漏洞发现→评估→报告的标准化内部流程
指定专人负责ENISA SRP平台的操作
进行跨部门实战演练,确保产品、安全和法务团队能在时限内完成通报判定
怎么做:
建立产品安全事件响应团队(PSIRT)
与国际漏洞数据库进行实时对接
建立标准化的漏洞接收、分析、修复和披露流程
怎么做:
在产品设计开发初期即考虑安全性
关闭不必要的通信端口、取消默认弱密码
确保默认配置体现最强的安全配置
CRA的协调标准正在制定中,目前可参考:
| 标准 | 内容 | 用途 |
|---|---|---|
| prEN 40000-1-2 | 网络弹性原则 | 风险评鑑与开发过程管控 |
| prEN 40000-1-3 | 漏洞处理 | 漏洞监控机制的落实 |
| ETSI EN 303 645 | 消费类IoT安全基线 | IoT产品的提前布局参考 |
行动建议:不要等到2027年——现在就开始搭建体系。2026年9月11日的报告义务不依赖产品是否已完成CE认证,只要产品在欧盟市场流通,就必须履行。
如需了解更详细的合规技术文件的支持,欢迎联系KMO科美欧实验室团队 -》 电话:+86 755-83642690 或 kmo@kmolab.com!
扫一扫,关注我们最新消息 工作时间:周一至周五 9:00-18:30
联系人:Lisa Liu
手机:18028790769
邮件:kmo@kmolab.com
地址:深圳市福田区深南中路3027号汇商中心2013-2016
