欧盟CRA网络安全新规解读：DEKRA德凯助力企业迈向欧盟市场

软件产品（操作系统、APP、库、后台服务等）

含软件/固件的硬件产品（设备）

可联网设备

智能设备 / 网络设备 / 嵌入式设备

MCU / CPU / SoC / ECU / Tbox 等

SaaS服务（网站、Web服务）

整车

医疗产品

航空 / 航海产品

2024年12月10日：CRA正式生效

2026年9月11日：制造商的漏洞和安全事件报告义务开始适用

2027年12月11日：所有含数字元素的产品需全面符合CRA要求，完成相应的合格评定并加贴CE标识后，方可进入欧盟市场。

CRA为不合规企业设置了严厉的处罚上限，最高可达1500万欧元或企业全球营业额的2.5%，并配套严格的市场监督与执法机制。

覆盖全生命周期的安全管理要求。CRA要求制造商对产品整个生命周期负责，包括研发、发布、维护、更新以及停产后的支持策略。产品需提供长期安全支持（如至少5年安全维护），并确保相关安全更新与技术文档在规定周期内可获取。

漏洞管理与漏洞披露义务。制造商必须建立规范化的漏洞管理与漏洞披露流程，包括漏洞接收、分析、修复、发布补丁以及对外沟通机制。对于可被利用的漏洞或重大安全事件，CRA明确规定了24小时预警、72小时通知、以及在一个月内提交正式报告的义务，并通知ENISA和CSIRT。

产品分类与差异化合规路径。CRA根据产品的核心功能、使用场景及安全影响，将产品划分为默认类、重要类（I/II）和关键类，不同类别适用不同的合规与认证路径。但无论类别如何，所有产品均需满足CRA的基础安全要求。

基于风险的安全设计与开发要求。制造商需要对产品进行系统性的风险评估，并将安全目标与安全需求落实到产品架构设计、开发与验证过程中，确保产品在其使用场景下满足CRA的安全要求。

CRA基础必需要求。CRA的基础必需要求主要围绕安全设计与开发、漏洞可修复性、身份认证与访问控制、数据机密性与完整性、数据最小化、弹性机制、最小化攻击界面、日志与审计机制、默认安全配置，以及数据/配置的安全删除与转移等方面展开，构成所有产品开展CRA合规评定与认证的共同基础。

面向研发团队与合规团队的CRA要求的技术支持

协助企业建立并优化安全开发生命周期（SDL）流程，将安全要求融入产品全生命周期

提供专业的安全治理与流程体系评估与认证服务

提供漏洞管理与漏洞披露的评估与认证服务

提供差距分析与预评估服务

提供产品测试与技术验证服务，支持合规结论与认证申请

汽车：R155, R156, ISO/SAE 21434

消费电子：RED DA, PSTI, EN 303645, NIST 8259/8425, CTIA, ioXt

信息通讯：Common Criteria（共同准则），EUCC, SESIP, Google CASA/MASA, FIPS 140-3, ISO 19790

工业：EUU NIS2, EU Machinery Regulation, IEC 62443系列，IEC 62351

医疗：FDA网络安全指南，MDR/IVDR, MDCG 2019-16