适用产品

覆盖所有可直接 / 间接连接设备或网络的硬软件产品（含远程数据处理解决方案），分为 3 类：

· 硬件产品：智能手机、笔记本、路由器、防火墙、智能家居设备、智能电表、可穿戴设备、联网玩具、微处理器 / 控制器等。

· 软件产品：独立软件（办公、财务、游戏 APP）、嵌入式软件、操作系统、VPN、密码管理器、杀毒软件、网络管理系统等。

· 关键组件：硬件安全模块、智能卡、网关设备等核心安全部件。

适用主体

· 面向欧盟出口的制造商、品牌商、软件开发商；

· 欧盟境内进口商、分销商、经销商、服务商；

· 供应链全环节：零部件供应商、软件组件提供商、外包开发企业。

豁免产品

· 医疗设备、民用航空、机动车辆等已有专项欧盟法规管控的产品；

· 非商业开源软件、展会原型机、测试用未完成软件（限定期）；

· 纯国家安全 / 国防用途产品、涉密信息处理专用设备；

· 不含远程数据处理的云服务（由 NIS2 指令管控）。

CRA 按产品安全影响程度分为3 级，分级决定合规评估严格程度：

安全设计与默认安全（Design & Default Security）

· 产品设计阶段必须嵌入安全左移理念，开展威胁建模与风险评估；

· 默认配置为最高安全级别（如强密码、关闭非必要端口、禁用默认密码）；

· 采用安全开发流程（SDL），代码审计、漏洞测试全覆盖。

漏洞管理与安全更新

· 明确并公开安全支持周期（通常≥5 年），支持期内免费提供安全更新；

· 默认启用自动更新（用户可关闭），确保漏洞及时修复；

· 建立漏洞披露政策，跟踪第三方组件漏洞（需提供SBOM 软件物料清单）；

· 发现主动利用漏洞或严重安全事件，24 小时内向欧盟 ENISA 及用户通报。

技术文档与供应链管控

编制完整技术文档：风险评估报告、SBOM、安全测试记录、更新流程、用户告知文件；

技术文档至少保存 10 年（或至支持期结束，取长者），供监管机构随时核查；

供应链尽职调查：审核供应商安全资质，确保第三方组件无后门、无高危漏洞。

CE 标志与符合性声明

完成对应等级合规评估后，加贴CE 标志，出具欧盟符合性声明（DoC）；

进口商 / 经销商必须核验 CE 标志、技术文档完整性，禁止销售不合规产品。

用户信息透明

清晰告知用户：安全支持期限、更新政策、漏洞通报渠道、安全风险提示；

提供易懂的安全使用指南，保障用户知情权与操作安全性。

2024 年 12 月 10 日：CRA 正式生效，过渡期启动；

2026 年 6 月 11 日：合格评估机构通知义务生效；

2026 年 9 月 11 日：漏洞 / 安全事件报告义务强制生效（24 小时通报）；

2027 年 12 月 11 日：所有 CRA 要求全面强制执行，不合规产品禁止进入欧盟市场。

CRA 处罚力度严苛，按违规等级分级罚款（取金额与营业额比例较高者）：

严重违规（违反核心安全要求、未通报漏洞 / 事件、伪造文件）：1500 万欧元或全球营业额 2.5%；

中级违规（技术文档不全、CE 标志错误、更新不及时）：1000 万欧元或全球营业额 2%；

轻微违规（提供误导性信息、不配合监管核查）：500 万欧元或全球营业额 1%；

附加处罚：产品强制下架 / 召回、海关扣留、欧盟市场禁入、品牌声誉受损、客户合同违约赔偿。

前期诊断与分级：梳理产品清单，对照 CRA 条款完成风险分级，排查合规差距，定制整改方案；

安全体系搭建：辅导建立 SDL 安全开发流程、漏洞管理机制、事件响应预案；

技术文件编制：协助编写风险评估报告、SBOM、用户告知文件、符合性声明等全套资料；

产品整改优化：指导修复高危漏洞、配置安全默认项、搭建自动更新机制；

合规评估与认证：对接欧盟公告机构 / 第三方评估机构，全程陪审，快速通过符合性评估；

CE 标志与发证：协助加贴 CE 标志，获取合规证书，确保合法进入欧盟市场；

长效维护：实时跟踪法规更新，定期漏洞复测、文档更新，确保持续合规，应对年度监督审核。

适用产品

覆盖所有可直接 / 间接连接设备或网络的硬软件产品（含远程数据处理解决方案），分为 3 类：

· 硬件产品：智能手机、笔记本、路由器、防火墙、智能家居设备、智能电表、可穿戴设备、联网玩具、微处理器 / 控制器等。

· 软件产品：独立软件（办公、财务、游戏 APP）、嵌入式软件、操作系统、VPN、密码管理器、杀毒软件、网络管理系统等。

· 关键组件：硬件安全模块、智能卡、网关设备等核心安全部件。

适用主体

· 面向欧盟出口的制造商、品牌商、软件开发商；

· 欧盟境内进口商、分销商、经销商、服务商；

· 供应链全环节：零部件供应商、软件组件提供商、外包开发企业。

豁免产品

· 医疗设备、民用航空、机动车辆等已有专项欧盟法规管控的产品；

· 非商业开源软件、展会原型机、测试用未完成软件（限定期）；

· 纯国家安全 / 国防用途产品、涉密信息处理专用设备；

· 不含远程数据处理的云服务（由 NIS2 指令管控）。

CRA 按产品安全影响程度分为3 级，分级决定合规评估严格程度：

安全设计与默认安全（Design & Default Security）

· 产品设计阶段必须嵌入安全左移理念，开展威胁建模与风险评估；

· 默认配置为最高安全级别（如强密码、关闭非必要端口、禁用默认密码）；

· 采用安全开发流程（SDL），代码审计、漏洞测试全覆盖。

漏洞管理与安全更新

· 明确并公开安全支持周期（通常≥5 年），支持期内免费提供安全更新；

· 默认启用自动更新（用户可关闭），确保漏洞及时修复；

· 建立漏洞披露政策，跟踪第三方组件漏洞（需提供SBOM 软件物料清单）；

· 发现主动利用漏洞或严重安全事件，24 小时内向欧盟 ENISA 及用户通报。

技术文档与供应链管控

编制完整技术文档：风险评估报告、SBOM、安全测试记录、更新流程、用户告知文件；

技术文档至少保存 10 年（或至支持期结束，取长者），供监管机构随时核查；

供应链尽职调查：审核供应商安全资质，确保第三方组件无后门、无高危漏洞。

CE 标志与符合性声明

完成对应等级合规评估后，加贴CE 标志，出具欧盟符合性声明（DoC）；

进口商 / 经销商必须核验 CE 标志、技术文档完整性，禁止销售不合规产品。

用户信息透明

清晰告知用户：安全支持期限、更新政策、漏洞通报渠道、安全风险提示；

提供易懂的安全使用指南，保障用户知情权与操作安全性。

2024 年 12 月 10 日：CRA 正式生效，过渡期启动；

2026 年 6 月 11 日：合格评估机构通知义务生效；

2026 年 9 月 11 日：漏洞 / 安全事件报告义务强制生效（24 小时通报）；

2027 年 12 月 11 日：所有 CRA 要求全面强制执行，不合规产品禁止进入欧盟市场。

CRA 处罚力度严苛，按违规等级分级罚款（取金额与营业额比例较高者）：

严重违规（违反核心安全要求、未通报漏洞 / 事件、伪造文件）：1500 万欧元或全球营业额 2.5%；

中级违规（技术文档不全、CE 标志错误、更新不及时）：1000 万欧元或全球营业额 2%；

轻微违规（提供误导性信息、不配合监管核查）：500 万欧元或全球营业额 1%；

附加处罚：产品强制下架 / 召回、海关扣留、欧盟市场禁入、品牌声誉受损、客户合同违约赔偿。

前期诊断与分级：梳理产品清单，对照 CRA 条款完成风险分级，排查合规差距，定制整改方案；

安全体系搭建：辅导建立 SDL 安全开发流程、漏洞管理机制、事件响应预案；

技术文件编制：协助编写风险评估报告、SBOM、用户告知文件、符合性声明等全套资料；

产品整改优化：指导修复高危漏洞、配置安全默认项、搭建自动更新机制；

合规评估与认证：对接欧盟公告机构 / 第三方评估机构，全程陪审，快速通过符合性评估；

CE 标志与发证：协助加贴 CE 标志，获取合规证书，确保合法进入欧盟市场；

长效维护：实时跟踪法规更新，定期漏洞复测、文档更新，确保持续合规，应对年度监督审核。