认证标准解读

Home 首页归档标签 Email

Cyber Resilience Act 产品分类体系详解

概述

Regulation (EU) 2024/2847（Cyber Resilience Act，网络弹性法案）于 2024 年 10 月 23 日发布，2024 年 12 月 10 日生效。该法案为数字产品制定了横向网络安全要求，确保硬件和软件产品在投放市场时具有更少的漏洞，并要求制造商在整个产品生命周期内认真对待安全问题。

本文重点解读 CRA 的产品分类体系，帮助制造商和利益相关方理解不同类别产品的符合性评估要求。

产品分类体系

CRA 将数字产品分为四大类别，根据其网络安全风险等级确定不同的符合性评估程序：

四大类别横向对比

对比项	默认产品	重要产品 Class I	重要产品 Class II	关键产品
风险等级	一般风险	较高风险	高风险	最高风险
定义	不属于重要/关键产品的普通数字产品	具有较高网络安全风险的重要产品	具有高网络安全风险的重要产品	对社会运行至关重要的核心产品
符合性评估	内部控制（自我声明）	内部控制 + 特定要求，或第三方评估	必须第三方符合性评估	必须第三方符合性评估 + 可能需要欧洲网络安全认证
自我声明	✅ 允许	✅ 允许（需满足额外要求）	❌ 不允许	❌ 不允许
第三方验证	可选	可选	🔴 强制	🔴 强制
CE 标志	✅ 需要	✅ 需要	✅ 需要	✅ 需要
技术文档	✅ 需要	✅ 需要	✅ 需要	✅ 需要
EU 符合性声明	✅ 需要	✅ 需要	✅ 需要	✅ 需要
公告机构介入	❌ 不需要	可选	🔴 必须	🔴 必须
欧洲网络安全认证	可选	可选	可选	可能强制要求
漏洞报告义务	✅ 需要	✅ 需要	✅ 需要	✅ 需要
安全更新义务	✅ 需要	✅ 需要	✅ 需要	✅ 需要
支持期限声明	✅ 需要	✅ 需要	✅ 需要	✅ 需要

分类依据

因素	说明
核心功能影响	产品功能对网络安全的影响程度
损害范围	被利用后可能造成的损害广度和严重性
供应链关键性	产品在数字供应链中的关键程度
认证适用性	现有欧洲网络安全认证框架的适用情况

符合性评估流程对比

默认产品 / Class I（自我声明）

1	制造商内部评估 → 技术文档 → EU符合性声明 → 加贴CE标志 → 上市销售

Class II / 关键产品（第三方评估）

1	制造商准备 → 公告机构审核 → 技术文档评审 → 型式检验 → EU符合性声明 → CE标志 → 上市销售

官方条款引用

Article 32 - 符合性评估程序

条款	英文原文	中文翻译	适用范围
Article 32(1)	For products with digital elements other than those referred to in paragraphs 2, 3, 4 and 5, the conformity assessment shall be carried out by the manufacturer applying the internal control procedure set out in Annex V.	对于第2、3、4、5款所述以外的数字产品，符合性评估应由制造商采用附录V规定的内部控制程序进行。	默认产品、Class I
Article 32(2)	The conformity of products with digital elements referred to in Annex III, class I, with the requirements set out in Articles 13 and 14 shall be demonstrated by a conformity assessment procedure which may be either: (a) the internal control procedure set out in Annex V; or (b) any of the conformity assessment procedures set out in Annex VIII, points (b) to (f).	附录III中Class I类数字产品对第13条和第14条要求的符合性，可通过以下符合性评估程序证明：(a) 附录V规定的内部控制程序；或(b) 附录VIII第至第规定的任一符合性评估程序。	Class I
Article 32(3)	The conformity of products with digital elements referred to in Annex III, class II, with the requirements set out in Articles 13 and 14 shall be demonstrated by a conformity assessment procedure set out in Annex VIII, points (b) to (f).	附录III中Class II类数字产品对第13条和第14条要求的符合性，应通过附录VIII第至第规定的符合性评估程序证明。	Class II
Article 32(4)	The conformity of products with digital elements referred to in Annex IV with the requirements set out in Articles 13 and 14 shall be demonstrated by a conformity assessment procedure set out in Annex VIII, points (b) to (f), or by a European cybersecurity certificate issued under a European cybersecurity certification scheme pursuant to Regulation (EU) 2019/881.	附录IV中数字产品对第13条和第14条要求的符合性，应通过附录VIII第至第规定的符合性评估程序证明，或根据法规(EU) 2019/881在欧洲网络安全认证方案下颁发的欧洲网络安全证书证明。	关键产品

附录内容概要

附录	英文标题	中文标题	内容概要
Annex V	Internal control procedure (Module A)	内部控制程序（模块A）	规定制造商可自行进行符合性评估的程序要求，包括技术文档编制、符合性声明起草等。
Annex VI	EU declaration of conformity	欧盟符合性声明	规定符合性声明的模板、必需内容（产品标识、引用法规、制造商信息、签署日期等）。
Annex VII	Technical documentation	技术文档	规定技术文档的必需内容：产品描述、风险评估、设计文档、测试报告、标准引用等。
Annex VIII	Conformity assessment procedures (Modules B, C, D, E, F)	符合性评估程序（模块B、C、D、E、F）	规定第三方符合性评估的各种模块：型式检验（B）、基于内部生产控制的符合性（C）、基于质量管理的符合性（D、E）、基于产品验证的符合性（F）。

自我声明核心要求

制造商采用自我声明时必须完成以下步骤：

1. 制定技术文档（Annex VII）

产品描述和预期用途
风险评估过程和结果
基本网络安全要求的实施说明
适用标准的清单
测试报告和验证结果

2. 实施符合性评估

证明产品满足适用要求
记录评估过程和结果

3. 起草欧盟符合性声明（Annex VI）

产品标识信息
引用的法规和标准
制造商声明
签署日期和授权代表

4. 加贴CE标志

清晰、可见、不可擦除
附上必要的识别信息

产品类别详细清单

重要产品 Class I（19类）

身份管理系统和特权访问管理软件/硬件
独立和嵌入式浏览器
密码管理器
恶意软件搜索/删除/隔离软件
VPN 产品
网络管理系统
SIEM 系统
启动管理器
PKI 和数字证书颁发软件
物理和虚拟网络接口
操作系统
路由器、调制解调器、交换机
具有安全功能的微处理器
具有安全功能的微控制器
具有安全功能的 ASIC 和 FPGA
智能家居通用虚拟助手
智能家居安全产品（智能门锁、安防摄像头、婴儿监控系统、报警系统）
具有社交互动功能或位置跟踪功能的联网玩具
个人可穿戴健康监测产品

重要产品 Class II（4类）

管理程序和容器运行时系统
防火墙、入侵检测和防御系统
防篡改微处理器
防篡改微控制器

关键产品（3类）

具有安全盒的硬件设备
智能电表网关
智能卡或类似设备（包括安全元件）

关键时间节点

日期	里程碑
2024-12-10	法案生效
2025-11-28	实施法案 2025/2392 发布
2026-09-11	报告义务开始适用
2026-12-11	合格评定机构通知截止
2027-12-11	法案全面适用

参考链接

法规原文：

欧盟官方资源：

CRA, Cyber Resilience Act, 产品分类, 符合性评估, 网络弹性法案 — 2026年3月14日

本文阅读量次

Search

Made with ❤ and at Lynd · 280327097@qq.com.

本站总访问量次 | 访客数人次