Logo

认证标准解读

Home 首页 归档 标签 Email

Cyber Resilience Act 实施时间线与合规路线图

概述

Regulation (EU) 2024/2847(Cyber Resilience Act)于 2024 年 12 月 10 日正式生效。本文梳理 CRA 的关键时间节点和合规路线图,帮助制造商和相关方规划合规工作。

关键时间节点

日期 里程碑 说明
2024-10-23 法规发布 Regulation (EU) 2024/2847 在欧盟官方公报发布
2024-12-10 法规生效 CRA 正式生效,开始 36 个月过渡期
2025-11-28 实施法案发布 Implementing Regulation (EU) 2025/2392 发布,明确重要/关键产品技术描述
2026-09-11 报告义务生效 漏洞报告和事件通知义务开始适用
2026-12-11 公告机构通知截止 成员国完成合格评定机构通知程序
2027-12-11 法规全面适用 CRA 全面适用,所有数字产品必须符合要求

分阶段实施路线图

第一阶段:准备期(2024.12 - 2026.09)

时间 任务 适用对象
2024 Q4 法规研读与影响评估 所有制造商
2025 Q1-Q2 产品清单梳理与分类 所有制造商
2025 Q3-Q4 技术文档框架建立 所有制造商
2025 Q4 内部流程调整 Class II/关键产品制造商

第二阶段:过渡期(2026.09 - 2027.12)

时间 任务 适用对象
2026 Q3 报告流程建立 所有制造商
2026 Q4 公告机构对接 Class II/关键产品制造商
2027 Q1-Q3 符合性评估完成 所有制造商
2027 Q4 CE 标志加贴 所有制造商

第三阶段:全面合规(2027.12 起)

任务 说明
持续监控 漏洞监控和报告
更新维护 安全更新和支持
文档维护 技术文档更新

产品分类合规要求

默认产品(自我声明)

1
2
3
4
5
6
7
8
9
┌─────────────────────────────────────────────────────────────┐
│                      默认产品合规流程                         │
├─────────────────────────────────────────────────────────────┤
│  1. 产品风险评估                                             │
│  2. 技术文档编制(Annex VII)                                │
│  3. EU 符合性声明(Annex VI)                                │
│  4. 加贴 CE 标志                                             │
│  5. 上市销售                                                 │
└─────────────────────────────────────────────────────────────┘

时间规划: 2027 Q2 前完成

重要产品 Class I(可选第三方)

1
2
3
4
5
6
7
8
┌─────────────────────────────────────────────────────────────┐
│                   Class I 产品合规流程                        │
├─────────────────────────────────────────────────────────────┤
│  方案 A:自我声明(同默认产品)                                │
│  方案 B:第三方评估(Annex VIII 模块)                        │
│                                                             │
│  建议:根据客户需求和市场定位选择                              │
└─────────────────────────────────────────────────────────────┘

时间规划: 2027 Q1 前确定方案,Q3 前完成

重要产品 Class II / 关键产品(强制第三方)

1
2
3
4
5
6
7
8
9
10
┌─────────────────────────────────────────────────────────────┐
│                Class II / 关键产品合规流程                    │
├─────────────────────────────────────────────────────────────┤
│  1. 选择公告机构(2026 Q4 前)                               │
│  2. 技术文档准备                                             │
│  3. 型式检验(Module B)                                     │
│  4. 符合性评估(Module C/D/E/F)                             │
│  5. EU 符合性声明                                            │
│  6. CE 标志加贴                                              │
└─────────────────────────────────────────────────────────────┘

时间规划:

  • 2026 Q4:确定公告机构
  • 2027 Q2:完成型式检验
  • 2027 Q3:完成符合性评估

报告义务时间线

漏洞报告(2026-09-11 起)

义务 时限 说明
主动漏洞报告 发现后 24 小时 向 ENISA 和成员国 CSIRT 报告
修补通知 修补可用后 通知用户和监管机构
事件更新 持续 提供进展更新

报告内容要求

  • 漏洞描述
  • 影响范围
  • 利用状态
  • 修补计划
  • 缓解措施

合规检查清单

2026 年 9 月前

  • 完成产品分类
  • 建立技术文档框架
  • 制定漏洞管理流程
  • 建立报告机制

2027 年 6 月前

  • 完成技术文档
  • 完成风险评估
  • Class II/关键产品:完成公告机构选择
  • 测试和验证完成

2027 年 12 月前

  • EU 符合性声明签署
  • CE 标志加贴
  • 技术文档存档(10 年)
  • 用户文档更新

相关法规协同

法规 关系 说明
NIS2 Directive 协同 关键实体网络安全要求
Cybersecurity Act 认证框架 欧洲网络安全认证方案
Product Liability Directive 责任 产品责任追溯
GDPR 数据保护 个人数据处理要求

参考链接

官方资源:

实施法案:

, , , , — 2026年3月15日

本文阅读量

评论

Search

    Made with ❤ and Hexo.js at Lynd · 280327097@qq.com.

    本站总访问量 | 访客数 人次