免费参与·100+跨境活动
免费下载·4000+跨境资料
免费学习·2000+直播课程
免费加入·15万+卖家交流群
2026-05-11 10:27
图片来源:跨境白武士 James
一、法规背景
从婴儿监视器到智能手表,从应用程序到计算机软件,可连接的硬件和软件产品已广泛融入日常生活。然而,这类产品可能带来的网络安全风险往往容易被用户忽视。
欧盟《网络弹性法案》(Cyber Resilience Act)对硬件和软件产品引入了强制性的网络安全要求,旨在应对当前产品普遍存在的网络安全水平不足及安全更新不及时等问题,并确保相关产品在其整个生命周期内维持较高的网络安全水平。
该法案已于2024年12月10日起生效,并将自2027年12月11日起全面适用。其中,关于漏洞利用和严重事件的报告义务,将于2026年9月11日起适用。
二、适用产品范围
CRA适用于含数字元素的产品,包括直接或间接连接到其他设备或网络的产品。
主要包括但不限于:
1、硬件产品,可连接到互联网或其他网络的设备,例如:
可穿戴设备:健身追踪器、智能手表等;
工业物联网设备:传感器、联网机械设备等
2、软件产品,包括可安装在硬件上或独立运行的应用程序,例如消费者应用程序、操作系统等。
CRA不适用于以下产品:
专门为国家安全或国防目的开发,或用于处理机密信息的产品;
用于替换现有产品中相同组件、且规格一致的备件。
此外,对于已受其他欧盟法规监管且相关法规已涵盖网络安全风险的产品,CRA的适用范围可能被部分限制或排除,前提是该等法规能够提供同等或更高水平的网络安全保护。
三、漏洞与严重事件报告义务
自2026年9月11日起,如果具有数字元素的产品发生严重事件或存在被主动利用的漏洞,制造商须在24小时内向欧盟网络安全局 (ENISA)及国家计算机安全事件响应小组(CSIRT)报告。
报告流程包含三个阶段:
后续报告(72小时内):随着更多详细技术信息的获取,及时予以补充通报。
最终报告(14天内):对于被实际利用的漏洞,应在14日内提交最终报告;对于严重安全事件,应在一个月内提交最终报告。
此外,制造商还将被要求在不无故拖延的前提下,向受影响的受规管产品的用户发出通知。对于已投放市场且包含数字元素的产品,如果制造商仍对其提供支持,也需要从2026年9月11日起适用报告义务。
四、制造商/分销商应重点关注的要求
如果您是制造商,自 2027年12月11日起,必须遵守CRA的要求。包括但不限于:
1. 评估产品的网络安全风险,并在产品的设计、开发、生产、交付及维护等各阶段采取措施降低相关风险;
2. 确保产品符合CRA附件一的基本网络安全要求;
3. 准备相关技术文件,对产品进行符合性评估,并在产品上展示 CE 标志。对于 “关键产品”和“重要产品”,适用情况下需要引入第三方机构参与符合性评估;
4. 在产品支持期内,对已识别的漏洞和/或问题采取措施予以修复;
5. 确保产品随附必要的文件和使用说明等。
如果您是分销商,请注意自2027年12月11日起,确保产品符合CRA的要求。包括但不限于:
核实制造商已履行相关义务,并已提供必要的文件和信息;
在产品投放市场后,如发现不合规情况,应配合采取措施,包括必要时下架或召回产品;
如发现产品存在漏洞或重大网络安全风险,应无不当延迟地通知制造商及相关市场监管机构;
根据要求向市场监管机构提供相关信息和文件,并予以配合。
以上内容来源Temu卖家课堂。
(来源:跨境白武士James)
以上内容属作者个人观点,不代表雨果跨境立场!本文经原作者授权转载,转载需经原作者授权同意。
封面来源/跨境白武士
(来源:跨境白武士James)以上内容属作者个人观点)
以上内容属作者个人观点,不代表雨果跨境立场!本文经原作者授权转载,转载需经原作者授权同意。
收录于以下专栏
闽公网安备35020602003453号