Pansin note

切换主题

欧盟网络弹性法案(CRA)深度评估报告:法律架构、跨境合规与中国企业战略应对

字数
9097 字
阅读时间
37 分钟

1. 绪论:全球网络安全立法的“布鲁塞尔时刻”

欧盟《网络弹性法案》(Cyber Resilience Act, 简称 CRA)的正式通过与生效,标志着全球网络安全治理进入了一个具有里程碑意义的全新阶段。这不仅是欧盟数字单一市场战略(Digital Single Market Strategy)的最后一块拼图,更是一次从“软法治理”向“硬法监管”的范式转移。长期以来,全球软件与物联网(IoT)行业遵循着“发布即遗忘”(release-and-forget)的商业模式,安全责任往往被通过最终用户许可协议(EULA)转嫁给终端用户。然而,CRA 通过其法规(Regulation)的法律属性,强制性地将网络安全责任回溯至制造源头,确立了“安全设计”(Security by Design)和“默认安全”(Security by Default)的法律底线。

对于深度嵌入全球数字供应链的中国企业而言,CRA 的意义远超出一项单纯的技术合规要求。它实际上构成了一道基于安全标准的非关税贸易壁垒,重新定义了中欧数字贸易的规则体系。本报告将以网络安全专家与法律专家的双重视角,对 CRA 的立法背景、法律架构、核心义务、对华影响及云服务责任边界进行详尽的深度剖析,并为中国出海企业提供一套系统性的合规风险治理方案。

---

2. 立法背景与法律地位:欧盟数字盾牌的构建

2.1 立法动因:修补数字市场的安全赤字

CRA 的诞生并非偶然,而是欧盟对日益严峻的网络威胁形势的直接回应。根据欧盟委员会的调研数据,由软件和硬件产品漏洞导致的网络犯罪每年给全球经济造成的损失高达数万亿欧元 1。在 CRA 出台之前,欧盟的网络安全监管框架存在着显著的“安全赤字”:虽然《通用数据保护条例》(GDPR)解决了个人数据的隐私保护问题,NIS2 指令强化了关键基础设施运营商的组织韧性,但在最基础的“产品”层面——即构成数字社会基石的软硬件产品——却长期处于监管真空地带。

这种监管碎片化导致了两个严重的市场失灵现象:首先是普遍的低水平网络安全,制造商为了抢占市场先机,往往牺牲安全性,导致大量产品在出厂时就携带已知漏洞;其次是信息不对称,消费者和企业买家缺乏足够的信息和工具来评估产品的安全性,难以做出理性的购买决策 2。CRA 的核心逻辑正是通过建立统一的市场准入标准,强制消除这些负外部性。

2.2 法律属性:法规的直接效力与统一性

CRA 被制定为“法规”(Regulation (EU) 2024/2847),而非“指令”(Directive)。在欧盟法律体系中,这一区别至关重要。“指令”设定目标,允许成员国在将其转化为国内法时保留一定的裁量权,这往往导致 27 个成员国的法律实施存在差异,不仅增加了跨国企业的合规成本,也造成了单一市场的割裂。而“法规”一旦生效,无需经过成员国转化即具有直接法律效力,这确保了 CRA 在整个欧盟范围内实施的一致性和同步性 2。这意味着,无论是德国的西门子、法国的施耐德,还是中国的华为、小米,只要其产品进入欧盟单一市场,都必须遵循完全相同的网络安全基线,任何成员国不得在 CRA 之外设立额外的国家级产品准入障碍,从而维护了内部市场的统一 4。

2.3 CRA 在欧盟数字法律体系中的生态位

CRA 并非孤立存在,而是精密嵌入在欧盟既有的数字法律生态系统中,与其他法规形成了互补、支撑甚至潜在冲突的复杂关系:

关联法规关系类型交互机制深度解析
NIS2 指令 (Directive (EU) 2022/2555)互补与支撑NIS2 规制的是“实体”(关键基础设施运营商,如电力公司、银行),要求其具备组织层面的网络韧性;CRA 规制的是“产品”(软硬件)。NIS2 实体在履行其供应链安全义务时,将主要通过采购符合 CRA 认证的产品来实现。CRA 实际上成为了 NIS2 实体进行供应链风险管理的工具 5。
通用数据保护条例 (GDPR)基础与增强GDPR 关注数据隐私,CRA 关注数据安全的技术实现(机密性、完整性)。CRA 强制要求的加密、访问控制等技术措施,是 GDPR “设计隐私保护”原则的具体落地。但在漏洞报告环节,CRA 要求披露可能涉及个人数据的攻击细节,这对 GDPR 的数据处理限制提出了挑战 7。
人工智能法案 (AI Act)重叠与协调对于既属于“带有数字元素的产品”又被定义为“高风险 AI 系统”的产品(如集成 AI 算法的安防摄像头),存在双重监管。CRA 第 8 条明确规定,符合 CRA 基本安全要求的产品将被视为自动满足 AI Act 中的网络安全要求,确立了“一次评估,双重合规”的原则 8。
通用产品安全法规 (GPSR)兜底与替代对于未被 CRA 覆盖的非联网电子产品,GPSR 提供兜底安全要求。但对于 PDE,CRA 作为特别法(Lex Specialis)优先于 GPSR 适用。
无线电设备指令 (RED)过渡与衔接RED 授权法案曾试图引入网络安全要求,但随着 CRA 的出台,RED 中的网络安全条款预计将被 CRA 取代或整合,以避免双重认证 10。

---

3. 生效时间轴与合规紧迫性分析

CRA 的实施采取了分阶段落地的时间表,这种安排反映了欧盟在给予产业界适应时间与应对紧迫网络威胁之间的平衡。

3.1 关键里程碑时间表

根据官方文本及公开分析,CRA 的生效与适用遵循以下严谨的时间轴 1:

  • 2024年10月10日:欧盟理事会正式通过 CRA 文本。
  • 2024年12月10日正式生效日 (Entry into Force)。法规在《欧盟官方公报》发布 20 天后生效,这标志着倒计时的正式开始。
  • 2026年6月11日合格评定机构规则适用。成员国必须在此日期前完成对本国合格评定机构(Notified Bodies)的指定和通知程序。对于企业而言,这意味着从此时起可以寻找并签约认证机构,进行预评估 13。
  • 2026年9月11日报告义务生效 (Reporting Obligations Apply)。这是对企业最具挑战性的第一个“硬”截止日期。从这一天起,制造商必须按照 CRA 第 14 条的要求,向 ENISA 和 CSIRT 报告“被主动利用的漏洞”和“严重事故”。此时产品尚未强制要求贴 CE 标签,但企业的安全响应机制(PSIRT)必须已完全运转 11。
  • 2027年12月11日全面适用 (Fully Applicable)。所有带有数字元素的产品必须符合 Annex I 的所有安全要求,完成合格评定程序,并贴上 CE 标志,方可在欧盟市场销售。这也意味着之前依据 RED 指令或其他法规获得的旧证书可能失效或需要更新 11。

3.2 2026年报告义务的战略风险

虽然全面合规的截止日期看似遥远(2027年底),但 2026年9月11日 的报告义务生效日构成了实质性的合规“生死线”。这一时间点的设置意味着,企业在获得 CE 认证之前,就必须先向欧盟监管机构敞开其安全状况的“黑盒”。如果一家企业在 2026 年下半年频繁报告严重漏洞,或者被第三方发现漏洞而未报告,不仅会面临巨额罚款,更会直接影响其后续在 2027 年申请 CE 认证时的信用评级和审核难度。此外,对于研发周期较长的硬件产品(如汽车电子、工控设备),2025 年立项的产品必须按照 CRA 标准设计,否则无法在 2027 年合法上市。

---

4. 核心规制对象与产品分类体系

CRA 的适用范围基于“带有数字元素的产品”(Products with Digital Elements, PDE)这一概念,其外延极广,且根据风险等级设定了阶梯式的合规义务。

4.1 核心定义:带有数字元素的产品(PDE)

CRA 第 2 条将 PDE 定义为“任何能够直接或间接连接到设备或网络的软件或硬件产品及其远程数据处理解决方案” 16。
这一定义包含三个关键要素:

  1. 数字元素:必须包含软件代码或逻辑。
  2. 连接性:直接连接(如通过以太网、Wi-Fi)或间接连接(如通过蓝牙、Zigbee 连接到网关,甚至仅仅是 USB 连接)均在范围内。这意味着几乎所有现代电子产品,从智能冰箱到工业传感器,都被囊括其中 17。
  3. 投放市场:必须是作为商业活动的一部分投放到欧盟市场。

重要豁免:
CRA 明确豁免了已有特定垂直领域网络安全法规覆盖的产品,包括:

  • 医疗器械(受 MDR/IVDR 监管);
  • 民用航空设备(受相关航空安全法规监管);
  • 机动车辆(受 UNECE R155 等车辆型式认证法规监管);
  • 国家安全与军事用途产品 13。
    然而,这种豁免是有限的。例如,如果一个医疗器械使用的通用平板电脑(非专用医疗设备)作为显示终端,该平板电脑本身仍需符合 CRA。

4.2 基于风险的产品分类与合规路径

CRA 根据产品对网络安全生态系统的重要性及受攻击后的潜在破坏力,将产品分为四类。这种分类直接决定了合规成本和认证路径的选择 19。

表 1:CRA 产品风险分类与合格评定程序对照表

分类定义与典型产品合规路径 (Conformity Assessment Procedures)对中国企业的战略影响
默认类别 (Default)约占 90% 的产品。包括:智能灯泡、蓝牙音箱、通用办公软件、游戏软件、非关键工业传感器。Module A (内部控制):制造商自我评估,建立技术文档,签署符合性声明。无需第三方介入。合规成本相对较低,但要求企业具备完善的内部测试和文档能力。一旦发生事故,自我声明将成为监管追责的证据。
重要 I 类 (Important Class I)具有一定安全功能或网络枢纽功能的产品。 包括:智能家居安防设备(门锁、摄像头、婴儿监视器)、路由器、交换机、网络接口卡、操作系统、浏览器、密码管理器、反病毒软件 20。路径 1:若完全采用协调标准,可用 Module A(自我声明)。 路径 2:若无协调标准,强制 Module B+C (型式检验) 或 Module H (全面质量保证)。重灾区。中国出海的安防监控、智能家居产品多属此类。由于协调标准预计滞后 15,大多需走第三方认证,面临时间成本和排队风险。
重要 II 类 (Important Class II)具有更高权限或核心安全功能的产品。 包括:防火墙、入侵检测/防御系统 (IDS/IPS)、虚拟机监视器 (Hypervisors)、防篡改微处理器/微控制器、容器运行时系统 20。强制第三方认证:必须由公告机构进行 Module B+C 或 Module H 评估。不可使用自我声明。涉及芯片厂商、网络安全设备厂商。欧盟不再信任厂商自证,认证将成为硬性市场准入证。
关键类别 (Critical)涉及国家关键基础设施核心安全的产品。 包括:智能电表网关、硬件安全模块 (HSM)、安全元件 (Secure Elements)、智能卡 23。强制欧洲网络安全认证:必须获得基于 CSA 框架的高等级证书。若方案未就绪,需进行最严格的第三方评估。市场准入门槛极高,可能涉及地缘政治考量,中国企业进入难度极大。

深度分析:重要 I 类产品的陷阱
对于中国大量出口的智能摄像头和家用路由器,虽然理论上可以使用 Module A,但前提是“完全应用协调标准”。然而,CEN/CENELEC 预计要到 2026 年底甚至 2027 年才能发布正式的协调标准 15。这意味着在 2027 年法规生效前的窗口期内,企业几乎无法满足“完全应用标准”的条件,从而被迫选择昂贵且耗时的第三方认证(Module B+C)。这实际上将“可选”的第三方认证变成了“事实上的强制”,企业需提前锁定认证机构资源。

---

5. 核心合规义务:全生命周期的安全治理

CRA 彻底改变了软件开发的生命周期管理,从 Annex I 的基本安全要求到 Annex VII 的技术文档,构建了一套严密的义务体系。

5.1 基本网络安全要求 (Essential Requirements)

Annex I 第一部分列出了产品必须具备的安全属性,这些要求必须在设计阶段就植入(Security by Design)24:

  1. 无已知可利用漏洞:产品出厂时不得含有任何已知的可被利用的安全漏洞。这要求企业建立极其严格的供应链审查机制。
  2. 安全默认设置 (Secure by Default):产品出厂配置必须是最安全的。例如,禁止使用通用默认密码(如 "admin/123456"),必须强制用户在初次使用时更改密码,或使用唯一的随机密码。关闭所有非必要的服务和端口。
  3. 访问控制与身份验证:必须实施强身份验证机制,防止未授权访问。
  4. 数据保护:使用加密技术保护存储和传输的数据(机密性),并确保数据的完整性。
  5. 软件物料清单 (SBOM):这是 CRA 的核心抓手。制造商必须识别并记录产品中包含的所有组件(包括开源库),并生成机器可读的 SBOM。这不仅是为了合规,更是为了在漏洞爆发时(如 Log4j 事件)能迅速定位受影响产品 27。
  6. 自动更新机制:产品必须支持安全更新的分发,且默认启用自动更新(用户可选择退出),确保漏洞能被及时修补。

5.2 漏洞处理要求 (Vulnerability Handling)

Annex I 第二部分规定了制造商在产品支持期(Support Period,通常至少 5 年)内的义务 24:

  • 持续监控:制造商必须持续监控产品及其组件(包括第三方组件)的漏洞信息。
  • 及时修补:发现漏洞后,必须“无不当延迟”地提供免费的安全更新。
  • 披露政策:必须建立协调漏洞披露(CVD)政策,提供接收外部研究人员漏洞报告的渠道。

5.3 开源软件的“监管穿透”与新角色

CRA 引入了“开源软件管理方”(Open Source Software Steward)这一新概念,以解决开源软件的监管难题 4。

  • 商业与非商业的界限:纯公益、非商业开发的开源软件豁免于 CRA。但一旦开源软件被“投放到市场”并用于商业活动,其性质就发生了变化。
  • 制造商的兜底责任:如果一家商业公司将开源组件集成到其产品中,该公司即成为该组件的“制造商”,需承担全部 CRA 责任。这意味着中国企业不能再以“这是开源代码的问题”为由推卸责任,必须对上游开源代码进行彻底的安全审计和尽职调查。
  • 管理方的义务:对于那些支持商业化开源项目的基金会(如 Linux Foundation, Eclipse Foundation),CRA 设立了轻量级的监管要求,要求其建立漏洞处理政策并配合市场监督,但不处以罚款,体现了对开源生态的保护 30。

---

6. 对服务欧盟市场的海外企业的影响:长臂管辖与责任落地

CRA 设计了一套严密的机制,确保位于欧盟境外的制造商(如中国企业)无法逃避法律责任。

6.1 授权代表(Authorised Representative):从形式到实质

CRA 第 18 条强制要求非欧盟制造商在欧盟境内指定一名授权代表(AR),作为其在欧盟法律辖区内的对接人 31。

  • 职责升级:与以往仅负责文件转递的 AR 不同,CRA 要求 AR 必须持有技术文档,有能力理解并向监管机构解释产品的合规性,并配合执行纠正措施(如召回)。
  • 法律责任:在最新的欧盟产品责任法修订背景下,如果制造商失联或无法赔偿,AR 可能面临连带责任风险。这导致欧盟当地的律所和合规机构在承接 AR 业务时会极其谨慎,通常要求制造商购买高额的产品责任险(Product Liability Insurance)或提供巨额保证金 33。
  • 对中国企业的影响:寻找“挂名”代表的时代结束了。中国企业必须寻找具备技术和法律双重能力的专业 AR,这将显著增加合规成本。

6.2 进口商与分销商的连带责任

CRA 将合规压力传导至供应链下游。

  • 进口商(Importer):必须核实制造商是否完成了合格评定、是否提供了技术文档、产品是否贴有 CE 标志。如果进口商发现产品不合规,不得将其投放市场。如果进口商以自己的品牌销售产品,则自动被视为制造商,承担全部 CRA 义务 33。
  • 分销商(Distributor):必须验证产品是否有 CE 标志和用户说明书。如果分销商知道产品存在漏洞,必须停止销售并向监管机构报告。
  • 市场反噬:这意味着欧盟的零售商(如 MediaMarkt, Fnac)和大型分销商会为了自保,向中国供应商提出极其严苛的采购合同条款,要求提供详尽的合规证明和赔偿承诺。

---

7. 欧盟公有云服务的合规与责任拆分:云端博弈

CRA 引入的“远程数据处理解决方案”(Remote Data Processing Solutions, RDPS)概念,深刻改变了硬件制造商与云服务提供商(CSP)之间的责任边界,是当前争议最大的领域之一。

7.1 远程数据处理解决方案(RDPS)的定义陷阱

根据 CRA 定义,如果软件由制造商设计开发(或委托开发),且该数据处理对于产品功能的执行是必不可少的(Absence would prevent the product from performing one of its functions),则该云端服务属于 PDE 的一部分 4。

判定逻辑表

场景是否为 RDPS责任主体
场景 A:智能门铃 + 实时视频云存储门铃制造商。因为没有云存储,门铃的核心功能(回看视频)失效。
场景 B:智能灯泡 + 手机 APP 远程控制灯泡制造商。远程控制是核心功能,且控制服务器由制造商运营。
场景 C:电子书阅读器 + Dropbox 集成Dropbox 是第三方通用服务,非阅读器制造商开发,且非设备运行所必需。Dropbox 自身需作为独立软件合规,但不作为阅读器的 RDPS。

7.2 责任拆分模型 2.0

在 CRA 框架下,传统的“云责任共担模型”(云厂商管基础设施,客户管应用)被打破,制造商面临“穿透式”责任。

7.2.1 基础设施层(IaaS)与平台层(PaaS)

当中国制造商使用阿里云(法兰克福节点)或 AWS 搭建 IoT 平台时:

  • 法律责任:阿里云/AWS 作为基础设施提供商,主要受 NIS2 指令管辖。但如果 IoT 设备因为云端配置错误或平台漏洞被攻陷,CRA 首先追责的是设备制造商,因为这是其 RDPS 的一部分。
  • 供应链管理:制造商必须要求云服务商提供符合 CRA Annex I 要求的安全证明(如通过 SOC2审计、ISO27001认证)。如果云平台发生底层故障导致设备变砖,制造商需对用户负责,再依据 SLA 向云厂商追偿。

7.2.2 软件服务层(SaaS)与 API

如果制造商直接采购第三方的 SaaS 服务(如涂鸦智能的 IoT 平台)作为其产品的后端:

  • 深度绑定:该 SaaS 服务直接构成了产品的 RDPS。制造商必须确保该 SaaS 服务商完全符合 CRA 要求。
  • 风险传递:如果 SaaS 服务商未能及时修补漏洞,导致欧盟用户数据泄露,CRA 的罚款(最高 1500 万欧元或全球营收 2.5%)将直接落在制造商头上。

7.3 中国云厂商的特殊地缘政治风险

使用阿里云、腾讯云等中国背景的云服务商在欧盟提供 RDPS 面临额外的合规挑战。

  • EUCS 认证风险:欧盟网络安全认证框架(EUCS)正在讨论在最高安全等级中引入“主权要求”,即要求云服务商不受非欧盟法律(如中国《国家情报法》)的管辖 37。如果这一条款落实,使用中国云厂商作为 RDPS 的“关键”或“重要”类产品,可能无法通过 CRA 的高等级合规认证,从而被排除在政府及关键行业采购之外。
  • 数据驻留:制造商必须确保所有 RDPS 数据严格存储在欧盟境内,且与中国节点进行逻辑甚至物理隔离,以规避 GDPR 和 CRA 对数据跨境安全性的双重审查。

---

8. 漏洞报告与数据主权的法律冲突

CRA 第 11 条和第 14 条规定的漏洞报告机制,是所有义务中最具挑战性的一环,甚至可能引发跨国法律冲突。

8.1 严苛的报告时间表

CRA 建立了单一报告平台(SRP),由 ENISA 管理。制造商必须遵循以下时间表 14:

阶段时间限制内容要求接收方
早期预警 (Early Warning)知悉后 24小时说明漏洞是否被主动利用、受影响的成员国、是否涉及恶意行为。ENISA & CSIRT
漏洞/事故通知知悉后 72小时详细的技术信息、初步影响评估、严重程度、利用指标(IoC)。ENISA & CSIRT
最终报告缓解措施可用后 14 天内根本原因分析、详细的缓解措施、涉及的恶意行为者信息。ENISA & CSIRT

8.2 数据字段与隐私冲突

报告模板(参照 NIS2 和 CRA 草案)可能要求提供涉及攻击特征的日志数据。

  • GDPR 豁免?:虽然 CRA 强调报告是为了网络安全,但如果日志中包含用户 IP 或个人信息,仍需遵循 GDPR 的最小化原则。CRA 并没有提供对 GDPR 的全面豁免,企业需在报告前进行数据脱敏 40。
  • ENISA 平台的安全性:企业担心将未修补的漏洞细节提交给 ENISA 可能会导致信息泄露。虽然 CRA 第 16 条规定了保密义务,并允许在“特殊情况”下延迟分发信息给其他成员国,但这仍是一个巨大的信任考验 42。

8.3 中欧法律冲突:数据出境的困境

这是中国企业面临的独特且棘手的合规死结。

  • 中国法律要求:根据中国《数据安全法》和《网络安全漏洞管理规定》,如果漏洞涉及网络产品,应在 2 日内向工信部报送。且未经主管机关批准,不得向外国司法或执法机构提供存储于中国境内的数据 44。
  • 欧盟法律要求:CRA 强制要求向 ENISA 和 CSIRT 报告。
  • 冲突点:如果一家中国企业的研发中心在中国,漏洞信息首先在中国被发现。如果该企业向 ENISA 报告了详细的漏洞技术参数和受影响范围(可能被视为向外国机构提供数据),是否违反中国法律?
  • 解决思路
    • 利用豁免:根据中国网信办(CAC)发布的跨境数据流动新规,为“履行合同所必需”(如修补漏洞维护用户安全)的数据出境可获豁免。企业应将向 ENISA 报告解释为维护欧盟用户合同安全义务的一部分 44。
    • 本地化运营:建立完全独立的欧盟安全运营中心(SOC),确保欧盟产品的漏洞数据和日志仅在欧盟境内产生和处理,由欧盟实体直接向 ENISA 报告,切断与中国境内数据的直接关联,从而规避中国法律的管辖。

---

9. 深度分析与战略建议:中国企业的合规治理方案

基于上述分析,CRA 不仅仅是技术合规,更是一场涉及研发、法务、供应链和市场战略的全面变革。

9.1 战略重构:市场与产品的再定位

  1. 产品组合清洗:立即对所有销往欧盟的 SKU 进行 CRA 风险分级。
    • 对于利润率低、生命周期即将结束且被归类为“重要 I/II 类”的产品,建议在 2027 年前有序退市,避免承担高昂的第三方认证成本和 5 年维护义务。
    • 对于核心战略产品,评估是否需要为了规避 RDPS 定义而进行架构调整(例如增加本地处理能力,减少云端依赖)。
  2. 供应链“去风险”
    • 对上游芯片、模组供应商进行 CRA 合规性审计。优先选择能提供 SBOM、长期安全更新承诺(SLA)的供应商。
    • 建立供应商“白名单”,淘汰无法满足 CRA 要求的低端供应商。

9.2 技术治理:构建 DevSecOps 与 SBOM 体系

  1. 安全左移 (Shift Left):在代码编写阶段即引入 SAST(静态应用安全测试)和 SCA(软件成分分析)工具。
  2. SBOM 自动化:不要依赖人工 Excel 表格。必须在 CI/CD 流水线中集成自动化工具(如 Syft, Trivy),在每次构建版本时自动生成符合 CycloneDX 或 SPDX 标准的 SBOM。
  3. 漏洞感知能力:建立自动化的漏洞情报系统,实时比对 SBOM 与 CVE 数据库。确保在漏洞被公开披露前的第一时间感知,以满足 CRA 的“无已知漏洞”出厂要求。

9.3 法律与运营:建立跨境响应机制

  1. 欧盟实体与 AR 的选择
    • 建议有条件的企业在欧盟设立全资子公司作为制造商或授权代表,以掌握主动权。
    • 若使用第三方 AR,务必审核其技术理解能力和保险覆盖范围。
  2. 24小时响应演练
    • 建立跨时区的 PSIRT 机制。确保在中国时间的夜间(欧洲的工作时间)也能响应 ENISA 的紧急询问。
    • 制定详细的“漏洞报告标准作业程序(SOP)”,明确哪些数据字段可以报,哪些需要法务审批,确保在 24 小时内完成内部流程。
  3. 合同传导
    • 修订与云服务商(Aliyun, AWS)的 SLA,明确要求其在底层设施出现安全事件时,必须在 12小时内 通知制造商(留出 12 小时给制造商向欧盟报告)。

9.4 结语

欧盟网络弹性法案是全球网络安全监管的“分水岭”。它宣告了低成本、低安全性的 IoT 设备在欧洲市场“野蛮生长”时代的终结。对于中国出海企业而言,短期内合规成本将显著上升,部分中小玩家将被迫出局。但从长期看,这也是一次品牌升级的契机。通过构建符合 CRA 标准的安全体系,中国企业不仅能保住欧盟市场,更能利用“欧洲标准”的高门槛,在与新兴市场竞争对手的博弈中建立起“安全可信”的护城河。

免责声明:本报告基于截至 2025 年 12 月的研究资料撰写。鉴于欧盟相关的二级立法(Delegated Acts)和协调标准仍在制定过程中,建议企业持续关注最新的监管动态并咨询专业法律顾问。

Works cited

  1. The European Union's Cyber Resilience Act | Open Regulatory Compliance Working Group, accessed December 12, 2025, https://orcwg.org/cra/
  2. L_202402847EN.000101.fmx.xml - EUR-Lex - European Union, accessed December 12, 2025, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L_202402847
  3. Cyber Resilience Act - Wikipedia, accessed December 12, 2025, https://en.wikipedia.org/wiki/Cyber_Resilience_Act
  4. Cyber Resilience Act text, Preamble 11 to 20, accessed December 12, 2025, https://www.european-cyber-resilience-act.com/Cyber_Resilience_Act_Preamble_11_to_20.html
  5. Understanding the Relationship Between NIS2 and the EU Cyber Resilience Act, accessed December 12, 2025, https://hyperproof.io/understanding-the-relationship-between-nis2-and-the-eu-cyber-resilience-act/
  6. Navigating the new EU cybersecurity standards: The NIS2 Directive and Cyber Resilience Act | IAPP, accessed December 12, 2025, https://iapp.org/news/a/navigating-the-new-eu-cybersecurity-standards-the-nis2-directive-and-cyber-resilience-act
  7. A Mapping Analysis of Requirements Between the CRA and the GDPR - arXiv, accessed December 12, 2025, https://arxiv.org/html/2503.01816v1
  8. EU Cyber Resilience Act, accessed December 12, 2025, https://www.simmons-simmons.com/en/publications/cm6gcjsf707b0tr0kozughngv/the-eu-cyber-resilience-act
  9. EU Reaches Political Agreement on Cyber Resilience Act for Digital and Connected Products | Data Matters Privacy Blog, accessed December 12, 2025, https://datamatters.sidley.com/2024/01/22/eu-reaches-political-agreement-on-cyber-resilience-act-for-digital-and-connected-products/
  10. Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requireme - EUR-Lex, accessed December 12, 2025, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32024R2847
  11. EU Cyber Resilience Act (CRA) - Open Source Security Foundation, accessed December 12, 2025, https://openssf.org/public-policy/eu-cyber-resilience-act/
  12. The Cyber Resilience Act - Summary of the legislative text | Shaping Europe's digital future, accessed December 12, 2025, https://digital-strategy.ec.europa.eu/en/policies/cra-summary
  13. The EU's Cyber Resilience Act: New Cybersecurity Requirements for Connected Products and Software - Pillsbury Winthrop Shaw Pittman, accessed December 12, 2025, https://www.pillsburylaw.com/en/news-and-insights/eu-cyber-resilience-act-requirements-products-software.html
  14. Cyber Resilience Act - Reporting obligations | Shaping Europe's digital future, accessed December 12, 2025, https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
  15. Cyber Resilience Act: When will requirements finally get more specific? | by Sarah Fluchs, accessed December 12, 2025, https://fluchsfriction.medium.com/cyber-resilience-act-when-will-requirements-finally-get-more-specific-a990cc1dab24
  16. The EU Cyber Resilience Act | Womble Bond Dickinson, accessed December 12, 2025, https://www.womblebonddickinson.com/uk/insights/articles-and-briefings/eu-cyber-resilience-act
  17. Beyond the Checklist: Which products fall under scope of the EU Cyber Resilience Act (CRA)? - Nohau Solutions, accessed December 12, 2025, https://nohau.eu/blogs/knowledge-center/beyond-the-checklist-which-products-fall-under-scope-of-the-eu-cyber-resilience-act-cra
  18. CRA Insights Part I: Understanding the Impact of the EU Cyber Resilience Act, accessed December 12, 2025, https://complyd.io/en/cra-insights-part-i-understanding-the-impact-of-the-eu-cyber-resilience-act/
  19. Cyber Resilience Act Product Categories - Cyber Cert Labs, accessed December 12, 2025, https://cybercertlabs.com/case_studies/cra-categories/
  20. Annex III – Cyber Resilience Act, accessed December 12, 2025, https://cyber-resilience-act.com/annexes/annex-iii/
  21. CRA Classification - How Does It Impact Your Requirements? - Tributech, accessed December 12, 2025, https://www.tributech.io/blog/cra-classification-impact-on-requirements
  22. How to obtain a CE marking for the CRA - Cyber Resilience Act, accessed December 12, 2025, https://www.cyberresilienceact.eu/how-to-obtain-a-ce-certificate-for-the-cra/
  23. The EU's Cyber Resilience Act: Prepare your business - PanIAM, accessed December 12, 2025, https://blog.paniam.cloud/posts/cyber-resilience-act
  24. Annex I Essential cybersecurity requirements - Cyber Resilience Act, accessed December 12, 2025, https://cyber-resilience-act.com/annexes/annex-i/
  25. Understanding the 13 Essential Cybersecurity Requirements of the Cyber Resilience Act (CRA) - Tributech, accessed December 12, 2025, https://www.tributech.io/blog/cyber-resilience-act-13-requirements
  26. A Mapping Analysis of Requirements Between the CRA and the GDPR - arXiv, accessed December 12, 2025, https://arxiv.org/html/2503.01816v2
  27. An Overview of the EU Cyber Resiliency Act (EU CRA) - Schellman, accessed December 12, 2025, https://www.schellman.com/blog/cybersecurity/overview-of-the-eu-cyber-resiliency-act-eu-cra
  28. Understanding Open Source Stewards and the Cyber Resilience Act, accessed December 12, 2025, https://orcwg.org/blog/stewards-cra-wp/
  29. OSS and the CRA: am I a Manufacturer or a Steward? - Open Source Security Foundation, accessed December 12, 2025, https://openssf.org/blog/2025/06/02/oss-and-the-cra-am-i-a-manufacturer-or-a-steward/
  30. Cyber Resilience Act - Open source | Shaping Europe's digital future - European Union, accessed December 12, 2025, https://digital-strategy.ec.europa.eu/en/policies/cra-open-source
  31. The Cyber Resilience Act – EU-Wide Requirements for the Cybersecurity of Products, accessed December 12, 2025, https://www.taylorwessing.com/en/insights-and-events/insights/2025/11/cyber-resilience-act-overview
  32. How to Comply with the EU Cyber Resilience Act: Authorised Representatives and Key Business Duties, accessed December 12, 2025, https://www.authorisedrepcompliance.com/ce-ukca-authorized-representative-latest-news/eu-cyber-resilience-act-new-rules-to-secure-digital-products/
  33. EU Product Liability Directive: What supply chain economic operators need to know now, accessed December 12, 2025, https://www.reedsmith.com/en/perspectives/2025/11/eu-product-liability-directive
  34. Cyber Resilience Act | Shaping Europe's digital future - European Union, accessed December 12, 2025, https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
  35. The Cyber Resilience Act is Rewriting the Rules of Digital Products Safety | BCLP, accessed December 12, 2025, https://www.bclplaw.com/en-US/events-insights-news/the-cyber-resilience-act-is-rewriting-the-rules-of-digital-products-safety.html
  36. Towards clear guidance for remote data processing ... - DigitalEurope, accessed December 12, 2025, https://cdn.digitaleurope.org/uploads/2025/07/Towards-clear-guidance-for-remote-data-processing-under-the-CRA_DIGITALEUROPE.pdf
  37. Technical is political: When a cloud certification scheme divides Europe, accessed December 12, 2025, https://www.iss.europa.eu/publications/briefs/technical-political-when-cloud-certification-scheme-divides-europe
  38. Cyber Resilience Act text, Article 14, accessed December 12, 2025, https://www.european-cyber-resilience-act.com/Cyber_Resilience_Act_Article_14.html
  39. CRA Vulnerability Reporting Requirements: What You Must Do Before September 2026, accessed December 12, 2025, https://www.tributech.io/blog/cra-vulnerability-reporting-requirements
  40. A guide to the data protection exemptions | ICO - Information Commissioner's Office, accessed December 12, 2025, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/a-guide-to-the-data-protection-exemptions/
  41. Comparative overview of reporting requirements under EU data protection and cybersecurity laws, accessed December 12, 2025, https://www.kennedyslaw.com/en/thought-leadership/article/2025/comparative-overview-of-reporting-requirements-under-eu-data-protection-and-cybersecurity-laws/
  42. Article 16 Establishment of a single reporting platform - Cyber Resilience Act, accessed December 12, 2025, https://cyber-resilience-act.com/cra/chapter-2/article-16/
  43. Cybersecurity Coalition, HPC Comment on EU CRA Delegated Act on Delaying Dissemination of Notifications About Vulnerabilities and Incidents, accessed December 12, 2025, https://www.centerforcybersecuritypolicy.org/insights-and-research/cybersecurity-coalition-hpc-comment-on-eu-cra-delegated-act-on-delaying-dissemination-of-notifications-about-vulnerabilities-and-incidents
  44. China's Cross-Border Data Transfer: Key Insights from Official Q&A (III), accessed December 12, 2025, https://www.china-briefing.com/news/chinas-cross-border-data-transfer-qa-iii-october-2025/
  45. Cross-Border Data Transfer Mechanisms and Requirements in China, accessed December 12, 2025, https://www.pillsburylaw.com/en/news-and-insights/cross-border-data-transfer-in-china.html
  46. China Issues Further Clarifications on Cross-Border Data Transfer Rules - Arnold & Porter, accessed December 12, 2025, https://www.arnoldporter.com/en/perspectives/advisories/2025/11/china-issues-clarifications-cross-border-data-transfer-rules

贡献者

The avatar of contributor named as pansin pansin

文件历史

撰写

CC BY-SA 4.0 © 2022-PRESENT Nólëbase 的创作者们