夜雨聆风
欧盟《网络韧性法案》(CRA)即将强制生效,不少开发者、企业都被绕晕了:独立APP要管吗?SaaS 要不要做合规?网页算不算?和硬件绑定的APP怎么算?
今天用最通俗、不绕弯的大白话,把纯软件、独立 APP、产品配套 APP、SaaS、Web 网站这 5 类到底受不受 CRA 监管,一次性讲明白!
先记住一句话
CRA只管[投放欧盟市场的数字产品],不管[云端服务]。
🔊 是产品 → 大概率要管
🔊 是服务 → 基本不管
1. 独立APP(微信、抖音、手机端软件)
✅ 受 CRA 监管!
什么是独立 APP?
从应用商店下载、安装到手机 / 电脑里才能用的软件。
微信 APP、抖音 APP、支付宝 APP
单机工具、手游、桌面软件
为什么要管?
属于纯软件产品
在欧盟上架 = 投放市场
能联网 / 数据交互 = 满足 CRA 适用条件
必须做什么?
安全设计,无高危漏洞
至少 5 年免费安全更新
漏洞快速披露与修复
出具合规声明、技术文档
重要类 APP 需第三方认证
2. 产品配套APP(智能硬件配套软件)
✅ 受 CRA 监管!
什么是产品配套 APP?
和硬件绑定使用的软件,比如:
智能门锁 APP
摄像头 APP
扫地机器人 APP
智能灯 / 智能家居 APP
怎么监管?
硬件必须合规
APP 作为数字产品一同监管
可以和硬件做一套合规,不用分开重复做
关键点
APP 是硬件的一部分,监管不割裂,但必须合规。
3. 纯软件产品(电脑软件、系统、工具包)
✅ 受 CRA 监管!
包括哪些?
操作系统
办公软件
设计工具
驱动程序、插件
只要是下载安装、在欧盟发布、能联网 / 数据交互,全部在范围内。
4.SaaS(云端服务、网页版软件)
❌ 不受 CRA 监管!
什么是 SaaS?
不用安装、打开浏览器就能用的云端服务。
网页版微信
网页版钉钉 / 飞书
在线表格、在线文档
网页版网盘
为什么不管?
SaaS 是服务,不是 “产品”
代码在云端,用户不安装、不持有软件本体
欧盟已有 NIS2 管服务安全,CRA 不重复监管
一句话判断
浏览器能用 = SaaS = 不用做 CRA
5.Web网站(官网、资讯、电商、博客)
❌ 普通网站不受 CRA 监管!
哪些网站完全不管?
企业官网
产品介绍页
新闻、博客、内容站
普通电商网页(只展示、不卖数字产品功能)
唯一例外:
如果网站是硬件 / APP 必须依赖的后台功能,属于 “远程数据处理解决方案”,才会被连带监管。例如:智能摄像头的网页查看端、智能家居网页控制后台。
终极一表读懂:谁受监管?
关键总结
1. 只要是下载安装的软件 / APP → 都要 CRA
2. 只要是浏览器打开的 SaaS / 网站 → 基本不用 CRA
3. 硬件 + APP 是一套,一起合规
4. CRA 不管服务,只管产品
如果你是出海欧盟的企业,只要对照这篇,就能立刻判断:你的产品到底要不要做网络韧性法案合规。
GTG广测集团 | 全球数字安全合规优选伙伴
🔐 别让合规只停留在“拿证”。
面对欧盟 CRA网络弹性法案、AI法案及GDPR/CCPA/数据法案等严苛监管,GTG凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。
🏆 GTG如何为您的产品保驾护航?
✅ 合规认证:确保您的产品符合欧洲市场准⼊要求
✅ 渗透测试 & 漏洞评估:模拟⿊客攻击,提前发现安全隐患
✅ 安全架构设计咨询:从底层优化产品安全性能
✅ 全球法规适配:协助企业满⾜不同国家的IoT安全标准(如中国GB/T、英国PSTI)
🏆 为什么GTG能为您降本避险?
✅ 拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
✅ 极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
✅全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。
您的全球合规通行证,从这里开始。
[👉 立即咨询 CRA / AI法案 / 隐私合规]
