Cyber Resilience Act 实施法案 2025/2392 解读 - 重要与关键产品技术描述

概述

Commission Implementing Regulation (EU) 2025/2392 于 2025 年 11 月 28 日发布，规定了 Cyber Resilience Act (CRA) 附录 III 和附录 IV 中重要产品（Important Products）和关键产品（Critical Products）的技术描述。

该实施法案是 CRA 产品分类的关键配套文件，明确了各类产品的”核心功能”（Core Functionality）定义，帮助制造商确定其产品属于哪个类别，从而确定适用的符合性评估程序。

核心概念：核心功能

定义原则

根据 CRA 第 7(1) 条和第 8(1) 条，产品的核心功能决定其是否属于重要或关键产品类别。

判断标准

示例说明

重要产品 Class I 技术描述

1. 身份管理系统和特权访问管理软件/硬件

技术描述：提供认证或授权机制，并可提供身份凭证生命周期管理功能的系统。包括控制自然人、法人、设备或系统对数字资源或物理位置访问的系统。

包括但不限于：

• 认证和访问控制读取器
• 生物识别读取器
• 单点登录软件 (SSO)
• 联合身份管理软件
• 一次性密码软件
• 硬件认证设备（如 TAN 生成器）
• 多因素认证软件

2. 独立和嵌入式浏览器

技术描述：使终端用户能够访问、呈现和与网络服务器上的网页内容和服务交互的软件产品。通常包括浏览器引擎、Web 协议支持、脚本执行能力和数据存储功能。

包括但不限于：

• 独立浏览器应用
• 嵌入式浏览器
• AI 代理集成浏览器

3. 密码管理器

技术描述：在本地设备或远程服务器上存储密码的产品，包括密码生成、共享和与本地或第三方应用程序集成。

包括但不限于：

• 本地密码管理器
• 浏览器扩展密码管理器
• 企业密码管理器
• 硬件密码管理器

4. 恶意软件搜索/删除/隔离软件

技术描述：检测或搜索恶意软件或代码，或删除或隔离此类软件或代码，以维护设备的完整性、机密性或可用性。

包括但不限于：

• 实时或手动恶意软件检测软件
• Rootkit 检测
• 具有核心功能的救援磁盘

5. VPN 产品

技术描述：建立从物理或虚拟网络系统资源构建的加密逻辑隧道的产品。

包括但不限于：

• VPN 客户端
• VPN 服务器
• VPN 网关

6. 网络管理系统

技术描述：通过监控和控制网络操作和配置来管理连接的网络元素（如服务器、路由器、交换机、工作站、打印机或移动设备）的产品。

包括但不限于：

• 端到端管理系统
• 专用配置管理系统（如 SDN 控制器）

7. SIEM 系统

技术描述：从多个来源收集数据，分析和关联该数据，并将其作为可操作信息呈现，用于威胁和事件检测、取证分析或合规目的。

8. 启动管理器

技术描述：通过初始化硬件、加载或转移控制到操作系统环境或系统资源以及选择启动选项来管理系统启动过程的软件产品。

包括但不限于：

• UEFI 固件
• 单阶段和多阶段引导加载程序

9. PKI 和数字证书颁发软件

技术描述：用于公钥基础设施（PKI）的产品，管理数字证书的验证、创建、颁发、分发、状态发布、更新或撤销，或与这些证书相关的加密密钥的生成、存储、托管、交换、销毁或轮换。

包括但不限于：

• 密钥管理系统
• 数字证书管理系统
• OCSP 响应器
• 一体化 PKI 解决方案

10. 物理和虚拟网络接口

技术描述：

• 物理网络接口：通过接口驱动程序提供的 API 直接将设备连接到网络的产品，通常在数据链路层运行。
• 虚拟网络接口：通过模拟物理网络接口驱动程序的 API 直接或间接将设备连接到网络的产品。

包括但不限于：

• 有线和无线网卡、控制器和适配器（Wi-Fi、以太网、IrDA、USB、蓝牙、NearLink、Zigbee、Fieldbus）
• 虚拟网卡、容器网络接口、VPN 接口

11. 操作系统

技术描述：提供底层硬件的抽象接口并控制软件执行的软件产品，可提供计算资源管理和配置、调度、输入输出控制、数据管理以及应用程序与系统资源和外设交互的接口等服务。

包括但不限于：

• 实时操作系统
• 通用和专用操作系统

12. 路由器、调制解调器和交换机

技术描述：

• 路由器：通过路由协议机制和算法选择路径或路由来建立和控制不同网络之间数据流的产品。
• 调制解调器：使用数字调制和解调技术将模拟信号与数字信号相互转换以进行 IP 通信的硬件产品。
• 交换机：通过数据包转发机制在网络设备之间提供连接并具有管理平面的产品。

包括但不限于：

• 有线和无线路由器、虚拟路由器
• 光纤调制解调器、DSL 调制解调器、有线（DOCSIS）调制解调器、卫星调制解调器、蜂窝调制解调器
• 管理型交换机、智能交换机、多层交换机、虚拟安全交换机、SDN 可编程交换机、无线接入点

13-15. 带安全功能的微处理器/微控制器/ASIC/FPGA

技术描述：提供安全相关功能的集成电路，如加密、认证、安全密钥存储、随机数生成、可信执行环境或其他基于硬件的保护机制，旨在保护微处理器/微控制器/ASIC/FPGA 之外的其他产品、网络或服务。

16. 智能家居通用虚拟助手

技术描述：在公共互联网上通信，基于自然语言提示处理请求、任务或问题，并根据这些请求提供对其他服务的访问或控制住宅环境中连接设备功能的产品。

包括但不限于：

• 集成虚拟助手的智能扬声器
• 满足此描述的独立虚拟助手

17. 智能家居安全产品

技术描述：保护住宅环境中消费者的物理安全且可以从其他系统远程控制或管理的产品，以及集中控制此类产品的硬件和软件。

包括但不限于：

• 智能门锁
• 婴儿监控系统
• 报警系统
• 家庭安全摄像头

18. 联网玩具

技术描述：

• 社交互动功能：在公共互联网上通信且具有嵌入式技术实现双向通信（键盘、麦克风、扬声器或摄像头）的玩具。
• 位置跟踪功能：在公共互联网上通信且具有跟踪或推断玩具或其用户地理位置技术的玩具。

19. 个人可穿戴健康监测产品

技术描述：

• 直接或通过衣物或配件佩戴在身体上，能够定期或持续感知和处理与用户健康相关的信息（包括身体指标）的产品，且不属于医疗器械法规范围。
• 供 14 岁以下儿童使用的可穿戴产品。

包括但不限于：

• 健身追踪器
• 智能手表
• 智能珠宝
• 智能服装和运动服装
• 儿童安全可穿戴设备

重要产品 Class II 技术描述

1. 管理程序和容器运行时系统

技术描述：

• 管理程序：抽象和/或分配计算资源并使虚拟机能够执行、管理和编排的软件产品。可在硬件上直接运行（裸机）、在操作系统上运行或在另一个虚拟机内运行（嵌套虚拟化）。
• 容器运行时系统：在单个主机操作系统上作为隔离进程管理容器执行和生命周期、分配资源并允许管理和编排单个容器的软件产品。

包括但不限于：

• 1 型管理程序（裸机）
• 2 型管理程序（托管）
• 混合管理程序

2. 防火墙、入侵检测和防御系统

技术描述：

• 防火墙：通过监控和限制进出网络的数据通信流量来保护连接的网络或系统免受未经授权访问的产品。
• 入侵检测系统 (IDS)：监控已进入网络环境的流量以检测可疑活动并识别入侵尝试、正在发生或已经发生的入侵的产品。
• 入侵防御系统 (IPS)：由入侵检测系统组成并主动响应网络或系统入侵的产品。

包括但不限于：

• 网络防火墙和应用防火墙（Web 应用防火墙、过滤器和反垃圾邮件网关）
• 基于网络的 IDS/IPS 和基于主机的 IDS/IPS

3-4. 防篡改微处理器/微控制器

技术描述：具有安全相关功能的微处理器/微控制器，包括防篡改证据、抵抗或响应，并设计为提供 Common Criteria 和 Common Evaluation Methodology 中定义的 AVA_VAN 级别 2 或 3 的保护。

关键产品技术描述

1. 带安全盒的硬件设备

技术描述：安全存储、处理或管理敏感数据或执行加密操作的硬件产品，由多个离散组件组成，包含提供防篡改证据、抵抗或响应作为对抗物理攻击对策的硬件物理外壳。

包括但不限于：

• 物理支付终端
• 生成和管理加密元素的硬件安全模块 (HSM)
• 符合上述描述的行驶记录仪

2. 智能电表网关

技术描述：控制智能计量系统中组件与授权第三方（如公用事业提供商）之间通信的产品。收集、处理和存储计量或个人数据，通过支持特定加密需求（如数据加密和解密）保护数据和信息流，集成防火墙功能并提供控制其他设备的手段。

包括但不限于：

• 与测量电力的智能计量系统相关的智能电表网关
• 用于测量其他能源（如燃气或热力）消耗的智能计量系统中的智能电表网关

3. 智能卡或类似设备（包括安全元件）

技术描述：

• 安全元件：具有安全相关功能（包括防篡改证据、抵抗或响应）的微控制器或微处理器。通常存储、处理或管理加密操作或敏感数据（如身份凭证或支付凭证）。设计为提供 Common Criteria 或 Common Evaluation Methodology 中定义的 至少 AVA_VAN.4 级别 的保护。

包括但不限于：

• 可信平台模块 (TPM)
• 嵌入式通用集成电路卡 (eUICC)
• 身份和旅行证件
• 合格签名卡
• 可更换 UICC
• 实体支付卡
• 物理门禁卡
• 数字行驶记录仪卡
• 集成支付安全元件的腕带

AVA_VAN 级别说明

参考标准：

• Common Criteria for Information Technology Security Evaluation
• Common Methodology for Information Technology Security Evaluation
• Implementing Regulation (EU) 2024/482 (EUCC 认证方案)

制造商合规要点

核心功能判定流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

┌─────────────────────────────────────────────────────────────┐
│  Step 1: 确定产品的核心功能                                   │
│          - 主要用途是什么？                                    │
│          - 用户购买的主要原因？                                │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  Step 2: 对照技术描述                                        │
│          - 核心功能是否符合某类产品的技术描述？                  │
│          - 注意：仅具备某类功能 ≠ 属于该类别                    │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  Step 3: 确定产品类别和符合性评估程序                          │
│          - 默认产品 → 内部控制（自我声明）                      │
│          - Class I → 内部控制或第三方评估                      │
│          - Class II / 关键产品 → 第三方评估                    │
└─────────────────────────────────────────────────────────────┘

关键注意事项

1. 组件集成不影响整体类别：产品集成重要/关键组件不改变整体类别，但制造商需确保整个产品满足 CRA 要求
2. 全面风险评估：无论产品类别，制造商都必须进行全面网络安全风险评估
3. 文档记录：在技术文档中清晰说明产品核心功能判定依据

参考链接

• Implementing Regulation (EU) 2025/2392 - 官方文本
• Regulation (EU) 2024/2847 - Cyber Resilience Act
• Implementing Regulation (EU) 2024/482 - EUCC 认证方案
• CRA 实施进度页面

2025/2392, CRA, Cyber Resilience Act, 关键产品, 技术描述, 重要产品 — 2026年3月18日

本文阅读量 次