verified_user
Standardful
首页chevron_right标准chevron_right欧盟 CRA
有效国际标准update 标准更新:2024年12月fact_check 事实核查:2026年6月28日

欧盟 CRA

网络韧性法案 法规(EU)2024/2847

apartment发布组织:欧盟

标准简介

欧盟 CRA 是由 欧盟 发布的有效标准,常用于科技、电子产品、制造业、服务业等行业,并适用于欧盟、欧洲经济区等市场。

本页汇总了 欧盟 CRA 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。

实施路线图

1
阶段 1schedule 预计周期: 3-6 周

定义含数字元素产品的网络安全范围

识别 EU Cyber Resilience Act 覆盖的产品、服务、场所、系统、团队、司法辖区和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括产品范围、基本网络安全要求、安全设计、漏洞处理、符合性评估、CE 标志、技术文件、事件报告,以及制造商、进口商和分销商义务。

2
阶段 2schedule 预计周期: 4-10 周

评估差距并排列风险优先级

将当前实践与预期的含数字元素产品的网络安全方法进行比较。审查安全设计要求、威胁建模、漏洞管理、安全更新、SBOM 或组件记录、符合性路径选择、欧盟声明、CE 标志和市场监督准备,并按法律暴露、安全影响、客户承诺、运营依赖以及审核或市场准入准备度排列差距优先级。

3
阶段 3schedule 预计周期: 8-24 周

实施控制和记录

部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护技术文件、风险评估、测试结果、漏洞处理程序、更新记录、组件清单、符合性评估文件、欧盟声明、事件报告和分销记录作为可追溯证据。

4
阶段 4schedule 预计周期: 持续进行

评审、审核并改进

开展内部评审、管理报告、审核、纠正措施和变更评估。当产品、服务、供应商、技术、法规、事件或相关方期望变化时刷新项目。

合规检查清单

0 / 12

checklist 范围与治理

checklist 控制与证据

checklist 监控与改进

常见问题解答

谁需要 EU Cyber Resilience Act?

expand_more

EU Cyber Resilience Act 最适用于将含数字元素产品投放欧盟市场的制造商、进口商、分销商和开源管理方。具体范围取决于产品、服务、司法辖区、客户承诺,以及组织是否需要认证、符合性证据、监管准备或内部治理。

EU Cyber Resilience Act 是否可认证?

expand_more

CRA 是产品监管制度,关注符合性评估、技术文件、漏洞处理和报告义务,而不是管理体系证书。

实施时应先关注什么?

expand_more

先定义范围和义务,再建立当前状态差距评估。早期最重要的工作是确认责任、受影响资产或过程、风险准则、客户或法律驱动因素,以及组织必须能够提供的证据。

EU Cyber Resilience Act 需要哪些证据?

expand_more

有用证据包括技术文件、风险评估、测试结果、漏洞处理程序、更新记录、组件清单、符合性评估文件、欧盟声明、事件报告和分销记录。证据应进行版本控制,能够追溯到责任人,并关联风险、义务、控制、决策和纠正措施。

项目应多久评审一次?

expand_more

应按计划周期评审,并在产品、服务、供应商、运行环境、事件、客户承诺或法规变化时评审。高风险领域应采用更频繁的监控和管理报告。

官方文档

查看全部

相关分类