9 月 11 日起，歐盟 CRA《網(wǎng)絡(luò)彈性法案》漏洞與安全事件報告義務(wù)將強(qiáng)制生效。企業(yè)如何合規(guī)應(yīng)對？哪些產(chǎn)品需要合規(guī)？信測標(biāo)準(zhǔn)已推出覆蓋 CRA 的預(yù)評估方案，助力企業(yè)提前破解合規(guī)難題。

CRA 即歐盟《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act, CRA），該法案已于2024年12月正式生效，進(jìn)入合規(guī)準(zhǔn)備階段。凡在歐盟上市、帶有數(shù)字元件、可聯(lián)網(wǎng)、可遠(yuǎn)程更新的產(chǎn)品，均納入監(jiān)管范圍。CRA重要強(qiáng)制生效時間節(jié)點如下：

· 2024 年 12 月 CRA 法案正式生效，合規(guī)準(zhǔn)備窗口期開啟

· 2026 年 9 月 11 日（紅線）漏洞與安全事件強(qiáng)制上報義務(wù)生效，24 小時預(yù)警、72 小時完整通知、14 天最終報告。時間倒計時開始，時間非常緊迫，信測標(biāo)準(zhǔn)已推出 CRA 預(yù)評估方案。

· 2027 年 12 月 11 日（大限）法規(guī)全面強(qiáng)制執(zhí)行，RED-DA 廢除，所有產(chǎn)品必須完成 CRA 合規(guī)。信測標(biāo)準(zhǔn)已推出 CRA 預(yù)評估方案。

（一）高危誤區(qū)：CRA 尚未全面強(qiáng)制，先不用管。該誤區(qū)將帶來嚴(yán)重后果：

1. 啟動太晚，不合規(guī)的內(nèi)容需要研發(fā)體系重構(gòu)，成本翻倍

2. 漏洞整改來不及，錯過上市窗口

3. 直接觸發(fā)強(qiáng)制報告，被歐盟重點監(jiān)管

（二）企業(yè)合規(guī)落地三階段：

1. 第一階段：2026 年 9 月 11 日前（倒計時緊迫）

建立漏洞管理體系（同步覆蓋漏洞與事件報告義務(wù)）

輸出：漏洞處理與披露政策、SBOM 清單、上報流程等體系文件

2. 第二階段：2027 年 12 月前

建立產(chǎn)品安全開發(fā)生命周期（SDLC）體系

輸出：產(chǎn)品風(fēng)險評估、安全設(shè)計、安全開發(fā)、安全驗證等 SDLC 成果

3. 第三階段：2027 年 12 月前

完成產(chǎn)品技術(shù)合規(guī)

輸出：產(chǎn)品技術(shù)合規(guī)評估報告

（一）同時滿足這2個核心條件的，基本都要做CRA認(rèn)證：

1. 帶軟件/固件/芯片/遠(yuǎn)程控制/智能功能的，并且能處理數(shù)據(jù)、執(zhí)行指令的

2. 可直接/間接聯(lián)網(wǎng)（例如可作為大系統(tǒng)的一部分的，而大系統(tǒng)在CRA范圍內(nèi)的）、可更新（物理連接、藍(lán)牙、Wi-Fi、邏輯接口都算）的

（二）CRA把產(chǎn)品分為普通類、重要類（分為1類、2類）、關(guān)鍵類產(chǎn)品：

1. 普通類產(chǎn)品：

2. 重要及關(guān)鍵類產(chǎn)品：

3. 可豁免的產(chǎn)品：

一站式落地，助力制造商輕松應(yīng)對合規(guī)難題！

1. 信測協(xié)助漏洞管理體系預(yù)評估（EN 40000-1-3）【時間緊迫，優(yōu)先做，信測提供所有模板輕松應(yīng)對】

建立漏洞接收、驗證、修復(fù)、披露全流程，同時結(jié)合漏洞和事件報告義務(wù)，滿足 2026 年強(qiáng)制報告要求。

2. 信測協(xié)助產(chǎn)品安全生命周期（SDLC）體系預(yù)評估（EN 40000-1-2）

覆蓋規(guī)劃→設(shè)計→實施→停用全流程，輸出合規(guī)文檔模板，幫你搭建SDLC體系。

3. 信測協(xié)助產(chǎn)品安全技術(shù)預(yù)評估（EN 40000-1-4 + 縱向標(biāo)準(zhǔn)）

按產(chǎn)品分級做技術(shù)差距分析，給出整改方案，確保技術(shù)合規(guī)。

4. 信測助力合規(guī)落地全支撐

產(chǎn)品分類判定、法規(guī)咨詢、SBOM 管理、漏洞報告協(xié)助、VOC 報告出具。