欧盟 CRA 网络弹性法案认证建设流程介绍

欧盟 CRA 网络弹性法案认证建设流程介绍

        欧盟《网络弹性法案》（Cyber Resilience Act，简称 CRA）是欧盟针对数字产品网络安全的核心立法，2024 年 12 月正式生效，2027 年 12 月全面实施，为进入欧盟市场的数字产品建立了全生命周期的网络安全合规与认证体系。CRA 认证建设并非单一的实验室检测环节，而是覆盖产品研发、合规管控、第三方评估、市场投放、持续运维的全流程体系化工作，企业需根据产品风险等级匹配对应认证路径，完成合规闭环。以下从认证建设的核心原则、前置准备、全流程核心步骤、分级差异化路径、上市后持续维护、落地避坑要点六大维度，展开完整的体系化介绍。

一、CRA 认证建设的核心原则与前置准备

（一）认证建设核心原则

CRA 认证体系以 “风险分级、全生命周期管控、制造商主体责任、协调标准优先” 为四大核心原则，是企业认证建设的底层遵循：

1. 风险分级匹配原则：产品风险等级与认证强度严格对应，低风险产品简化流程，高风险产品强化管控，避免过度合规或合规不足；

2. 全生命周期覆盖原则：认证要求覆盖产品研发、生产、投放、运维、退市的全流程，而非仅上市前的一次性检测；

3. 制造商主体责任原则：产品品牌方为 CRA 合规的**责任人，需对产品全生命周期的网络安全承担最终法律责任；

4. 协调标准优先原则：采用欧盟官方发布的 CRA 协调标准的产品，可大幅简化评估流程，降低认证成本。

（二）认证建设前置准备

企业启动 CRA 认证建设前，需完成 4 项核心前置工作，为后续流程奠定基础：

1. 组建跨部门合规团队：牵头部门为法务与合规部，核心成员覆盖研发、网络安全、供应链、生产、市场、售后全链路，明确各部门合规职责；

2. 梳理产品清单与投放计划：全面梳理拟投放欧盟市场的全品类数字产品，明确各产品的上市时间、核心功能、技术架构，为后续风险等级判定提供依据；

3. 法规与标准资源储备：收集 CRA 正式文本、欧盟官方发布的实施细则、协调标准清单、市场监管指南，同步对接欧盟授权的公告机构（Notified Body，简称 NB）、合规咨询机构、安全检测机构等专业资源；

4. 明确欧盟合规主体：确定欧盟境内的合规负责人与进口商，负责对接欧盟监管机构、处理市场抽查、接收漏洞报告与消费者投诉，满足 CRA 的欧盟境内主体要求。

二、认证建设核心前提：产品风险等级判定

产品风险等级判定是 CRA 认证建设的**步，直接决定了认证路径、合规要求、成本与周期，需严格遵循 “先豁免判定、再分级归类” 的逻辑。

（一）**步：产品豁免判定

先对照 CRA 法案的豁免清单，判断产品是否属于完全不适用 CRA 的范畴，满足任意一项即可无需开展后续认证工作：

1. 已受欧盟专项法规管控，且安全要求不低于 CRA 的产品，包括医疗器械、车载电控、航空机载电子、船舶海事电控、受欧盟支付专项法案监管的金融机具等；

2. 专为国防、情报、国家保密用途研发，不面向民用市场化销售的涉密产品；

3. 自制自用、企业内部自研不外售、非商业化产品，未进入欧盟市场流通；

4. 无付费售卖、无预装在收费硬件、无商业化运维服务的纯免费非商用开源软件；

5. 全离线无任何联网能力、无法远程升级固件的单机设备，无网络安全风险；

6. 仅用于维修替换原有整机原厂同型号零部件，不单独作为新品上市销售的原厂备件；

7. 独立云端订阅的通用 SaaS 服务，不含智能硬件绑定的专属配套嵌入式软件。

   欧盟CRA网络弹性法案｜产品豁免判定清单（满足任意一条即不适用CRA）
   序号	豁免大类	判定细则	典型产品举例
   1	已有欧盟专项法规管控（安全要求≥CRA）	列入EU专项立法，专属安全合规体系	①医疗器械：有源智能医疗设备、体外诊断仪（MDR/IVDR） ②车载电控、整车电子件（UN R155、车辆安全法规） ③航空机载电子、船舶海事电控（民航/海事EU法规） ④受欧盟支付专项法案单独强监管的金融机具
   2	军用/国家安全涉密产品	专为国防、情报、国家保密用途研发，不面向民用市场化销售	军用加密通信、涉密专用工控、军方定制嵌入式软硬件
   3	纯非商用、不投放欧盟市场产品	自制自用、企业内部自研不外售、个人DIY产品，无商业化上市行为	工厂内部自用非标工控样机、个人自制智能装置
   4	纯免费非商用开源软件	无付费售卖、无预装在收费硬件、无商业化运维服务的开源程序	免费社区开源工具、无商业发行版开源代码
   5	全离线无任何联网能力产品	硬件无有线/无线通信接口、无法远程升级固件、不能接入任何网络	简易电子计算器、固定固件不可联网小家电、无蓝牙/WiFi单机设备
   6	原厂同规格替换备件	仅用于维修替换原有整机原厂同型号零部件，不单独作为新品上市销售	原厂同款主板、原装替换芯片
   7	通用SaaS云端服务（不含设备绑定专属配套软件）	独立云端订阅软件、通用云盘、在线办公SaaS（非硬件配套嵌入式程序）	通用在线文档软件、独立云服务器租赁服务
   ⚠️ 豁免例外：绑定智能硬件专属配套SaaS、设备内置远程管控云端模块，不豁免，纳入CRA分级监管

   
   

   
   

（二）第二步：适用产品四级分级归类

不满足豁免条件的产品，需对照 CRA 法案的风险分级清单，精准判定产品等级，匹配对应认证路径：

三、CRA 认证建设全流程核心步骤

完成产品等级判定后，企业需按照 CRA 要求，完成全流程认证建设，核心步骤可分为 7 个闭环环节，不同等级产品可对应简化或强化相关环节。

步骤 1：产品合规性差距分析（GAP 分析）

基于产品风险等级，对照 CRA 法案的核心合规要求，开展全面的差距分析，是认证建设的基础环节。核心分析内容包括：

• 产品安全设计是否符合 CRA 的 “安全设计默认” 原则，是否具备明确的安全边界与核心安全功能；

• 产品是否存在 CRA 禁止的重大安全缺陷，是否具备完善的安全更新、漏洞修复机制；

• 企业是否建立了覆盖研发、供应链、生产、运维的全流程安全管控体系；

• 产品技术文档、合规文件是否符合 CRA 的留存要求，是否可追溯、可验证；

• 对于需要第三方认证的产品，是否满足欧盟公告机构的审核与测试要求。

差距分析完成后，需形成正式的 GAP 分析报告，明确整改项、整改责任人、整改时限与验收标准，制定完整的整改计划。

步骤 2：产品安全设计与研发整改

基于 GAP 分析报告的整改要求，在产品研发全流程融入 CRA 安全要求，完成产品安全整改，是认证建设的核心技术环节。核心整改内容包括：

• 采用安全开发生命周期（SDL），在需求、设计、编码、测试、发布全环节植入安全管控，建立代码安全审计、漏洞扫描机制；

• 完成产品安全架构优化，明确核心安全功能的边界，修复产品已知的高危、中危安全漏洞，确保产品无 CRA 禁止的重大安全缺陷；

• 完善产品安全更新机制，确保产品可实现安全、可靠的固件 / 软件更新，具备漏洞修复的全流程管控能力；

• 建立供应链安全管控体系，对上游硬件组件、开源软件、第三方 SDK 开展全面的安全审计，避免供应链漏洞引发的合规风险；

• 完善产品事件响应机制，制定网络安全事件应急预案，明确漏洞披露、应急处置、用户告知的全流程规范。

步骤 3：技术文档与合规文件体系搭建

CRA 法案明确要求，制造商必须留存完整的合规技术文档，文档留存期限不短于产品退市后 10 年，随时接受欧盟市场监管机构的抽查。需搭建的核心文档体系包括：

• 产品基础技术文档：产品技术规格说明书、硬件设计文档、软件架构文档、核心功能说明；

• 安全合规文档：产品安全设计文档、风险评估报告、漏洞管理记录、安全更新计划、供应链安全管控文件；

• 测试验证文档：内部安全测试报告、渗透测试报告、功能安全验证报告、第三方检测报告（如需）；

• 合规声明文件：CRA 符合性声明（DoC）、CE 标识使用说明、欧盟合规负责人信息、进口商信息；

• 运维管理文档：网络安全事件响应预案、年度合规审核计划、产品退市后的安全保障方案。

所有文档需符合欧盟公告机构的审核要求，结构清晰、逻辑严谨、可追溯、可验证，是后续自我声明或第三方认证的核心支撑材料。

步骤 4：内部合规评估与自我测试

完成产品整改与文档搭建后，企业需开展全面的内部合规评估与安全测试，验证产品是否符合 CRA 的全部适用要求，是自我声明合规的核心环节，也是第三方认证的前置准备。核心评估与测试内容包括：

• 合规性审核：对照 CRA 法案与适用标准，逐项审核产品安全设计、管控流程、文档体系是否满足合规要求，形成合规审核报告；

• 安全功能测试：对产品的核心安全功能开展全面测试，验证安全功能的有效性、可靠性，覆盖身份认证、权限管控、数据加密、安全更新等核心模块；

• 安全漏洞测试：开展自动化漏洞扫描、人工渗透测试、模糊测试，全面排查产品的安全漏洞，确保无高危、中危漏洞残留；

• 流程演练：开展供应链安全管控、漏洞处置、事件响应的全流程演练，验证管控流程的有效性，完善应急预案；

• 文档验证：核对技术文档与产品实际情况的一致性，确保文档可完整支撑产品的合规声明，无遗漏、无矛盾。

内部评估与测试完成后，需形成完整的内部评估报告与测试报告，作为产品合规性的核心支撑材料。

步骤 5：第三方公告机构评估与认证（如需）

对于重要 Ⅱ 类、关键类产品，以及无协调标准的重要 Ⅰ 类产品，必须委托欧盟授权的公告机构（NB）开展第三方评估与认证，是 CRA 认证的核心管控环节。第三方认证的全流程如下：

1. 机构选择：选择具备对应产品品类 CRA 认证资质、在欧盟官方公告机构清单内的 NB 机构，确认机构的认证范围、审核周期、收费标准，签订认证服务协议；

2. 材料提交：向 NB 机构提交完整的产品技术文档、合规文件、内部测试报告、产品样品，确保提交的材料完整、规范，符合机构的审核要求；

3. 文档审核：NB 机构开展全面的文档审核，核对产品是否符合 CRA 法案与适用标准的要求，提出文档整改意见，企业需在规定时限内完成整改并重新提交；

4. 产品测试：NB 机构对产品样品开展独立的实验室测试，覆盖安全功能、漏洞扫描、渗透测试等核心环节，验证产品的安全合规性，测试不通过的需完成整改后重新测试；

5. 现场审核（如需）：对于高风险产品，NB 机构会开展企业现场审核，核查企业的研发管控、供应链管理、生产管控、运维体系是否符合 CRA 要求；

6. 证书出具：文档审核、产品测试、现场审核全部通过后，NB 机构向企业出具 EU 型式检验证书或专项网络安全认证证书，明确产品的合规等级、适用范围、证书有效期。

步骤 6：符合性声明与 CE 标识加贴

完成内部评估或第三方认证后，企业需签署正式的 CRA 符合性声明（DoC），完成 CE 标识的加贴，是产品投放欧盟市场的法定前提。

• 符合性声明需明确产品型号、制造商信息、欧盟合规负责人信息、产品风险等级、适用的 CRA 条款与协调标准、第三方认证信息、声明日期、授权签字人等核心内容，声明产品完全符合 CRA 的全部适用要求；

• 对于需要加贴 CE 标识的产品，需在产品本体、产品包装、产品说明书、技术文档上加贴规范的 CE 标识，确保标识清晰、可识别，符合欧盟 CE 标识的使用规范；

• 符合性声明、CE 标识使用记录、全套技术文档、认证证书需完整留存，随时接受欧盟市场监管机构的抽查。

步骤 7：欧盟市场投放与合规台账建立

完成上述全部流程后，产品可正式投放欧盟市场。企业需建立完整的合规台账，实现产品全生命周期的可追溯管控，台账核心内容包括：

• 产品基础信息：产品型号、投放时间、投放国家、核心功能、技术规格；

• 合规信息：产品风险等级、适用标准、符合性声明版本、第三方认证证书编号与有效期、技术文档版本；

• 运维信息：安全更新记录、漏洞处置记录、市场抽查应对记录、消费者投诉处理记录、年度合规审核记录；

• 供应链信息：核心供应商、组件型号、开源软件清单、供应链安全审计记录。

同时，企业需确保欧盟境内的合规负责人与进口商可正常对接欧盟监管机构，及时处理市场抽查、漏洞报告、消费者投诉等事宜，确保产品上市后的合规管控持续有效。

四、不同产品等级的认证路径差异化

CRA 认证体系针对不同风险等级的产品，设置了差异化的认证路径，企业需精准匹配，避免过度合规增加成本，或合规不足引发法律风险。

1. 默认类产品：极简自我声明路径无需第三方认证，仅需完成 GAP 分析、产品安全整改、内部合规评估与测试、签署符合性声明、搭建合规文档体系，即可正式投放欧盟市场，合规成本**、周期最短，核心管控重点为内部合规体系的有效性。

2. 重要 Ⅰ 类产品：双轨可选路径若产品采用欧盟官方发布的 CRA 协调标准，可采用自我评估模式，流程同默认类产品；若产品无适用的协调标准，必须委托欧盟公告机构开展第三方评估，审核通过后才可投放市场，核心管控重点为协调标准的适配性与第三方评估的合规性。

3. 重要 Ⅱ 类产品：强制第三方型式检验路径无论产品是否采用协调标准，均必须委托欧盟公告机构完成 EU 型式检验，通过文档审核、产品测试、现场审核（如需），出具型式检验证书后，才可签署符合性声明投放市场，核心管控重点为第三方认证的全流程管控与产品安全设计的合规性。

4. 关键类产品：**等级强制认证路径必须委托具备高安全等级资质的欧盟公告机构，完成全流程的安全审核与测试，确保产品安全等级达到 CRA 要求的 “实质性” 及以上，出具专项网络安全认证证书；同时需建立全生命周期的安全运维体系，承诺超长周期的安全更新与漏洞处置，认证周期最长、合规要求最严格，核心管控重点为产品硬件安全设计的**等级合规与全生命周期运维管控。

五、上市后持续合规与认证维护

CRA 认证并非一次性的上市前工作，而是覆盖产品全生命周期的持续管控义务，产品上市后，企业需完成以下持续合规与认证维护工作：

1. 常态化漏洞管理与安全更新：建立 7×24 小时的漏洞监测与扫描机制，及时发现产品安全漏洞，按照 CRA 要求的时限发布安全更新，修复漏洞，同时留存完整的漏洞处置、安全更新记录，向用户及时告知漏洞风险与更新要求；

2. 合规文档与认证的持续更新：当产品发生硬件、软件、核心功能的重大变更时，需重新开展合规 GAP 分析，更新技术文档与合规文件；对于需要第三方认证的产品，需重新提交欧盟公告机构审核，更新认证证书，确保产品持续符合 CRA 要求；

3. 市场监管应对与事件响应：建立欧盟市场监管抽查的快速应对机制，随时准备提交全套合规文件、认证证书等材料，配合监管机构的抽查工作；同时，持续完善网络安全事件响应预案，当发生产品重大安全漏洞、网络攻击事件时，及时按照 CRA 要求向欧盟监管机构、用户披露，采取应急处置措施，降低安全风险；

4. 年度合规审核：每年开展一次全面的内部合规审核，验证产品持续符合 CRA 的全部要求，更新合规台账，完善管控流程，留存完整的年度合规审核报告，确保产品全生命周期的合规闭环。

六、认证建设常见误区与落地建议

（一）认证建设常见误区

1. 误区 1：将 CRA 认证等同于一次性实验室检测大量企业忽视 CRA 的全生命周期管控要求，仅关注上市前的检测环节，未建立常态化的安全管控、漏洞管理、安全更新机制，导致上市后因安全更新不及时、漏洞处置不当被欧盟监管机构处罚，甚至面临产品下架、高额罚款的风险。

2. 误区 2：产品风险等级判定错误部分企业为降低合规成本，将高风险产品按低风险等级认证，或未完成豁免判定直接开展认证，导致合规不足，产品投放欧盟市场后被监管机构抽查发现，面临严重的法律后果；也有部分企业过度分级，导致合规成本大幅增加，认证周期大幅延长。

3. 误区 3：忽视供应链安全管控大量企业仅关注自身产品的安全设计，未对上游硬件组件、开源软件、第三方 SDK 开展安全审计，导致供应链漏洞引发产品安全风险，违反 CRA 的供应链安全管控要求，面临合规处罚。

4. 误区 4：未落实欧盟境内合规主体要求部分企业未在欧盟境内设立合规负责人与进口商，无法及时对接欧盟监管机构，导致市场抽查应对不及时、漏洞报告无法正常接收，被监管机构认定为未履行合规义务，引发处罚。

（二）认证建设落地建议

1. 提前布局，预留充足的整改与认证周期CRA 全面实施时间为 2027 年 12 月，企业需提前 12-24 个月启动认证建设工作，尤其是高风险产品，需预留充足的整改时间、第三方认证排队与审核时间，避免因整改周期长、认证进度滞后，导致产品无法按时投放欧盟市场。

2. 精准分类，匹配**认证路径先完成产品豁免判定，再精准判定产品风险等级，匹配对应认证路径，既避免过度合规增加不必要的成本，也杜绝合规不足引发的法律风险；对于品类复杂的企业，可委托专业合规咨询机构开展分类判定，确保分类精准。

3. 体系化建设，将合规融入全业务流程摒弃 “一次性认证” 的思维，将 CRA 合规要求融入产品研发、供应链管理、生产制造、市场投放、运维服务的全业务流程，建立常态化的合规管控体系，让合规成为企业的常态化管理动作，而非一次性的项目工作。

4. 提前对接专业资源，确保认证流程顺畅提前对接欧盟官方授权的公告机构、具备 CRA 合规经验的咨询机构、安全检测机构，确认机构的资质与服务能力，提前签订服务协议，避免认证高峰期出现机构排队、审核周期大幅延长的情况；同时，可委托专业机构提供全流程辅导，降低认证风险，提升认证效率。

总结

欧盟 CRA 网络弹性法案的认证建设，是企业进入欧盟数字产品市场的核心合规门槛，也是企业提升产品网络安全竞争力、实现全球化发展的重要举措。CRA 认证体系以风险分级为核心，以全生命周期管控为基础，企业需提前规划、精准分类、体系化落地，完成从研发到退市的全流程合规闭环，既确保产品顺利进入欧盟市场，也全面规避合规风险。随着欧盟网络安全监管的持续收紧，CRA 合规体系建设不仅是企业的法律义务，更是企业在全球数字产品市场建立核心竞争力的关键支撑。