夜雨聆风
点击上方蓝字关注我
2026年1月20日,欧盟委员会正式发布CSA2.0提案。2026年4月17日,中国商务部向欧委会提交正式评论意见,称该提案"将贸易问题政治化","过度泛化安全概念",表示"若中国企业遭到歧视性待遇,将依据《对外贸易法》采取反制措施"。
中国欧盟商会(CCCEU)2026年5月发布报告,估算若CSA2.0对18个关键行业实施强制替换,欧盟成员国在5年内将累计损失3678亿欧元(近两年欧盟全年预算之和),并明确反对以"原产国"而非"技术风险"为由实施供应商限制。
它于2019年6月27日正式生效。2026年1月20日,欧盟委员会发布CSA2.0修订提案(COM(2026) 11),将立法推向了全新的地缘政治博弈层面。
CSA的核心演变史
阶段 | 时间 | 核心内容 | 对中国企业的影响 |
|---|---|---|---|
CSA 1.0(原始版本) | 2019年生效 | ENISA永久化 + 自愿认证框架 | 合规成本增加,但无市场准入壁垒 |
EUCC(首个落地认证方案) | 2025年2月正式实施 | 基于通用标准(ISO/IEC 15408)的三级认证 | 高端市场准入需获得认证 |
CRA(网络韧性法案) | 2024年12月生效,2027年全面强制 | 强制性产品安全法规,24小时漏洞上报 | 所有在欧销售数字产品必须合规 |
CSA 2.0(修订提案) | 2026年1月发布,立法进程中 | 引入"非技术风险"评估 + 供应商排除机制 | ⚠️ 可能导致部分中国企业被全面排除出欧盟市场 |
CSA与CRA对比
对比维度 | CSA(网络安全法) | CRA(网络韧性法案) |
|---|---|---|
性质 | 框架性法规,建立认证基础设施 | 强制性产品安全法规 |
参与方式 | ✅ 自愿认证(CSA 1.0)| ⚠️ CSA 2.0存在排除机制 | 🔴 必须合规,不合规不得在欧盟市场销售 |
生效时间 | 2019年(框架),EUCC 2025年正式实施,CSA 2.0立法进程中 | 2027年12月11日全面强制执行 |
理解CSA 1.0的关键,是厘清它的分类对象——产品本身的风险等级,而不是供应商的国别身份。
保障等级 | 适用产品类型 | 评估方式 | 中国企业的合规路径 |
|---|---|---|---|
Basic(基础级) | 低风险ICT产品 | ✅ 企业自我声明(无需第三方) | 最简便路径,可自主完成 |
Substantial(实质级) | 中风险产品,能防御常见网络攻击 | ⚠️ 须由认可实验室进行第三方评估 | 在欧盟认可实验室完成评估,周期3–12个月 |
High(高级) | 高风险场景产品,用于关键基础设施等 | 🔴 最严格的第三方评估,须证明抵御APT攻击能力 | 周期长(6–18个月)、成本高,但可进入最高敏感市场 |
CSA 1.0的核心原则:技术评估,不问出身。 无论企业注册在哪个国家,只要产品通过相应等级的评估,就可以获得认证,在全欧盟范围内通行。不同国家的企业在认证面前地位平等。
2.2 对所有供应商的无差别要求
CSA 1.0没有设置任何以国别为基础的市场准入门槛。 无论是中国企业、美国企业还是欧盟本地企业,只要产品通过认证,享有完全平等的市场地位。
2.3 EUCC:第一个落地的认证方案
EUCC(European Common Criteria Based Certification Scheme)是CSA框架下第一个正式实施的认证方案,基于通用标准(Common Criteria, ISO/IEC 15408),于2025年2月27日正式生效。
适用范围: 芯片、智能卡、路由器等硬件;操作系统、应用软件等软件;产品关键组件
覆盖等级: Substantial和High两级(Basic暂不适用)
互认机制: EUCC规定可与第三国签署互认协议——目前中国尚未与欧盟签署此类互认协议,中国企业须从零开始在欧盟认可实验室完成EUCC评估
对比维度 | CSA 1.0(2019年) | CSA 2.0(2026年提案) |
|---|---|---|
监管对象 | ICT产品的技术风险等级 | ICT供应商的国别身份和所有权结构 |
分级逻辑 | 基于产品功能、影响范围、攻击复杂度 | 基于第三国法律环境、政府影响能力、供应商股权结构 |
中国企业待遇 | ✅ 与其他国企业同等,可申请认证 | ⚠️ 存在被认定为"高风险供应商"并被排除出市场的实质风险 |
核心性质 | 技术法规,合规即可进入 | 市场准入工具,带有地缘政治意图 |
3.2 认定"构成网络安全关切的第三国"的五项标准(第100条)
该国法律要求境内实体在软件/硬件漏洞被发现利用之前,向本国政府报告漏洞相关信息;
有独立来源证实,该国存在要求境内实体在漏洞被发现利用之前即向政府报告的相关做法;
该国缺乏有效的司法救济机制及独立民主监督机制;
有证据表明,受该国控制并在其境内活动的威胁行为者实施了恶意网络活动,且该国缺乏能力或意愿合作应对;
源自欧盟层面协调安全风险评估或成员国/国际组织报告的相关信息。
为什么这些标准是专门针对中国设计的:
第(1)(2)条 直接对应中国《网络安全法》第22条、《数据安全法》第21条——中国法律要求在漏洞被公开利用之前向主管部门报告,这在欧盟看来是"政府可以在漏洞公开前获取信息"
第(3)条 针对中国的司法救济机制——中国对网络安全事件的司法管辖权与欧盟标准不同
第(4)条 使用"受国家控制的威胁行为者"措辞,无需提供具体技术证据,即可将中国的网络活动定性为威胁
3.3 "高风险供应商"的认定与全方位限制(第104条)
若某国被认定为"构成网络安全关切的第三国",在该国设立的企业,或被该国/该国实体/该国国民控制的企业,将被直接认定为**"高风险供应商"**。
欧委会在评估供应商时,将调查:供应商的注册地以及所有权和控制结构(第104(4)条)。
被认定为高风险供应商后,受到的限制是全方位且无先例的:
限制类别 | 具体内容 |
|---|---|
标准制定权 | 不能参与制定、评估、咨询欧盟网络安全领域的标准——意味着无法影响欧盟技术标准的走向 |
认证申请权 | ❌ 不能申请或持有欧盟网络安全认证。持有认证即可被推定满足多项欧盟法律合规要求,这意味着须以更高成本满足合规要求 |
公共采购 | 不能参与关键ICT资产的公共采购程序、欧盟资助项目或任何欧盟资助活动 |
市场交易权 | 不能采购任何持有欧盟网络安全认证的主体提供的ICT产品、服务——实质切断了与整个认证体系参与者的一切商业往来 |
处罚力度 | 违规使用高风险供应商ICT组件,最高罚款全球年营业额的7% |
3.4 "关键ICT资产"与36个月强制移除(第102、103、111条)
禁止高风险供应商的关键ICT资产组件用于高关键性行业和其他关键性行业(第103条)
强制移除移动电子通信网络中已安装的高风险供应商组件,36个月内完成(第111(1)条)
固定和卫星电子通信网络组件的移除时限由欧委会另行决定
3.5 为什么说CSA 2.0是"针对中国量身定制"
第一:立法历史脉络可验证的针对性
CSA 2.0并非凭空出现。欧盟自"5G网络安全工具箱"(2019年)时期即开始针对中国:
2020年,明确要求成员国评估5G供应商风险,将中国供应商列为"高风险"5G供应商
2023–2025年,多个成员国将华为、中兴排除出5G网络建设
欧委会影响评估报告直接点名:2015–2023年间欧盟进口的350吉瓦太阳能逆变器中,64%来自中国企业(225吉瓦),将中国供应商称为"高风险供应商"
CSA 2.0是在已有实践基础上,以立法形式将对中国供应商的歧视性做法成文化、固定化、扩大化。
第二:"非技术风险"标准直接对应中国法律环境
CSA 2.0第100条的五项评估标准,其具体措辞和指向性并非偶然:
第(1)(2)条,直接指向中国《数据安全法》《网络安全法》要求向主管部门报告安全漏洞的相关规定。 中国《网络安全法》第25条、《数据安全法》第21条以及《网络产品安全漏洞管理规定》明确要求,网络运营者、数据处理者在发现安全漏洞后,应当立即向有关主管部门报告——中国法律要求在漏洞未公开阶段向主管部门通报,而非像欧盟法律那样要求在漏洞被公开利用后才通过CVD(协调漏洞披露)流程处理。这一法律差异被欧盟解读为"中国政府可以在漏洞被公开前获取信息",从而使相关供应商被纳入"非技术风险"评估。
第(4)条使用"受国家控制并在该国境内活动的威胁行为者"这样的措辞,而非具体的技术证据。 这一措辞不需要提供具体网络攻击事件的归因分析,只需要"有证据表明"该国与某起事件存在关联,即可触发风险认定。这是一个极低的举证门槛,赋予了欧委会在几乎任何情况下都可以援引这条完成"第三国认定"的政治操作空间。
第三:豁免机制坐实歧视性意图
CSA 2.0第105条规定,在被认定为"高风险供应商"后,供应商可申请豁免——但条件极为苛刻,且豁免程序由欧委会主导。这意味着:即使技术上完全合规,企业仍须经过政治性的"豁免"程序才能进入市场,实质上是将合规与市场准入分离。**
CSA 2.0第105条规定,在被认定为"高风险供应商"后,供应商可申请豁免——但条件极为苛刻,且豁免程序由欧委会主导。即使技术上完全合规,企业仍须经过政治性的"豁免"程序才能进入市场。
产品分类:需确定产品属于"默认产品"还是"重要产品"(Category I/II)
漏洞报告义务:发现严重安全漏洞后24小时内须向ENISA报告
合规评估:须在产品上市前完成内部合规评估,并保留技术文档供审查
影响二:CSA 2.0——部分企业面临全面市场排除风险
中国ICT供应商被认定为"高风险供应商"后,将被禁止参与欧盟公共采购、无法申请欧盟网络安全认证、不能与认证企业进行ICT产品交易
36个月的强制移除时限(针对电信网络),给中国通信设备企业留下的应对窗口极为有限
影响三:EUCC认证——进入高敏感市场的"门票"
对于金融、医疗、关键基础设施等高敏感领域的软件产品,EUCC认证将逐渐成为事实上的市场准入条件。但CSA 2.0将改变这一逻辑——如果中国企业被认定为高风险供应商,即使获得了EUCC认证,也可能因"认证申请权被剥夺"而失去效力。
理解智驾供应商为何面临CSA 2.0的特殊风险,需要先厘清智驾产业的本质。
智驾的本质是"带轮子的数据中心"——核心竞争力是软件、算法、云服务和数据,而不是钢铁和发动机。软件、算法、云服务,恰好是CSA 2.0监管最严格的对象。
智驾产业链几乎每一个环节都踩在CSA 2.0"关键ICT资产"的边界上:
智驾产业链环节 | 对应的CSA 2.0覆盖范围 | 关联程度 |
|---|---|---|
自动驾驶域控制器(SoC芯片) | ICT组件 / 芯片产品 | 直接覆盖(EUCC已涵盖) |
车载V2X通信模组(C-V2X) | 数字基础设施 / 交通运输 / 无线电设备 | 直接覆盖,36个月移除条款的潜在目标 |
云控基础平台(自动驾驶云端算法) | 数字基础设施 / ICT服务管理(B2B) | 直接覆盖,托管安全服务(2025年已纳入) |
高精地图服务 | ICT服务(B2B)/ 数字基础设施 | 直接覆盖 |
自动驾驶测试/运营车队 | 交通运输(NIS2关键行业) | 直接覆盖 |
智驾算法(感知/决策/规划) | ICT流程 / 软件 | CRA强制覆盖,CSA 2.0可能延伸 |
5.2 智驾供应商面临的四层叠加风险
第一层:CRA——所有智驾产品必须过的技术关
CRA将于2027年12月全面强制执行,覆盖所有含数字元素的硬件和软件产品。智驾域控制器、算法软件、传感器模组、云控平台均在此列。
智驾供应商面临的直接压力:
产品分类风险:自动驾驶系统是否被认定为"重要产品"(Category I或II),决定了是否需要接受更严格的第三方评估。如果被认定为Category II,认证周期可能长达12–18个月
24小时漏洞报告:智驾系统的安全漏洞(如感知失效、决策错误)一旦被利用,可能导致严重交通事故,CRA将对此类漏洞的报告要求极为严格——发现后24小时内必须向ENISA报告
SBOM要求:智驾算法大量依赖开源模型和第三方SDK(PyTorch、TensorRT、开源感知模型等),企业须建立完整的软件物料清单,并在产品生命周期内持续更新
第二层:EUCC——进入高敏感市场的准入门槛
对于计划进入欧盟高端市场的智驾产品(如L3级以上自动驾驶系统),EUCC认证将逐渐成为事实上的市场准入条件。
Substantial级:第三方评估,周期3–12个月,适合L2+/L3辅助驾驶系统
High级:最严格评估,周期6–18个月,适合L4级以上Robotaxi、矿区/港口自动驾驶等高风险场景
第三层:CSA 2.0——被认定为"高风险供应商"的生存威胁
这是智驾供应商面临的最严峻风险。一旦CSA 2.0以目前版本通过,并对中国供应商适用,将产生以下连锁反应:
限制维度 | 对智驾供应商的具体影响 | 严重程度 |
|---|---|---|
V2X模组强制移除 | 已搭载中国V2X模组的车辆,须在36个月内替换为欧盟认可供应商产品,技术路线被迫中断 | 🔴 极高 |
云控平台断连 | 在欧盟运营的智驾云控平台,须将数据存储和处理迁移至欧盟本地服务商,算法和数据优势被瓦解 | 🔴 极高 |
认证申请权丧失 | 即使技术领先,无法获得EUCC认证,无法进入高敏感市场的正规商业路径 | 🔴 高 |
标准制定权被排除 | 无法参与欧盟智驾安全标准和准入标准的制定,失去下一代标准话语权 | 🔴 高 |
公共采购无法参与 | 欧盟的自动驾驶公交、无人配送、智慧物流等公共采购项目的大门关闭 | ⚠️ 中高 |
5.3 最坏情景推演
如果CSA 2.0以目前版本通过,对中国智驾供应商的最坏情景是分三个阶段发生的:
第一阶段(1–3年):现有合同执行受阻
已在欧盟落地的智驾项目(自动驾驶客车、港口AGV、物流配送车等),在新立法框架下无法续约或扩展。中国智驾供应商在欧盟的存量业务开始收缩。
第二阶段(3–5年):技术路线被迫替换
搭载中国V2X模组的车辆,其通信模组须在36个月内替换为欧盟认可供应商产品。这意味着:不仅新车上不能装中国模组,已有车辆也须改装,智驾功能的稳定性面临重大挑战。同时,在欧盟运营的云控平台须迁移至欧盟本地数据中心,算法模型的实时性和数据迭代能力将受到严重影响。
第三阶段(5年以后):市场生态彻底割裂
中国智驾供应商在欧盟只能从事低附加值的硬件代工或软件定制,无法主导产品和标准的定义。欧盟市场成为中国智驾企业的"边缘市场"而非"战略市场"。
5.4 智驾软件供应商的特殊抗辩空间
抗辩角度一:仅是上层应用软件供应商,不是通信设备供应商
这是最核心也最有力的抗辩角度。
CSA 2.0的"高风险供应商"认定和36个月强制移除条款,其立法原意是针对通信网络基础设施供应商——也就是提供通信网络、基站、核心网等底层通信设施的企业,这类企业有能力直接影响一个国家的信息基础设施安全。
但中国智驾供应商的商业本质是什么?
是软件供应商,是上层应用供应商,而不是直接对外通信。
对比维度 | 通信网络设备供应商(如AD ECU) | 智驾软件供应商 |
|---|---|---|
核心业务 | 提供通信基础设施(Switch、SerDeser) | 提供自动驾驶算法和应用软件 |
在ICT体系中的位置 | 底层基础设施层(Layer 1–2) | 上层应用层(Layer 5–7) |
类比 | 电信运营商的基础网络 | 手机APP开发者 |
对通信网络的影响力 | 可以影响整个网络的安全和可用性 | 使用网络,但不影响网络的运行 |
智驾供应商的核心价值是感知算法、决策规划算法、高精地图处理——这些是应用层的软件能力,而不是通信设备的能力。
通信设备在智驾系统中的作用,是为上层算法提供实时道路信息的传输通道——通信设备是智驾系统的基础设施。通信设备可以更换为欧洲供应商。
CSA 2.0针对的是"关键通信基础设施"的供应商,而非"使用通信基础设施的应用开发商"。 将应用层软件供应商纳入与基础设施供应商同等的排除框架,超出了CSA 2.0的立法射程,也与欧盟自身的数字单一市场战略(鼓励应用创新)存在内在矛盾。
抗辩角度二:数据本地化可降低"非技术风险"评分
CSA 2.0对"非技术风险"的认定,部分基于"数据可能外泄至供应商所属国"的假设。如果中国智驾供应商将欧盟市场的所有数据处理和存储迁移至欧盟本地数据中心,并接受欧盟监管机构的定期审计,有机会在一定程度上降低"非技术风险"的评分。
抗辩角度三:安全性应以技术测试为评估基准,而非以国别为前提
欧盟自身也在推动自动驾驶的合法上路。如果欧盟的L3/L4自动驾驶准入认证已对安全能力做了充分验证,那么额外的"国别排除"与安全目标之间存在内在矛盾——一个通过了最高等级安全认证的智驾系统,不应该因为其开发者的国籍而被排除。
智驾是中国在全球范围内具有显著技术竞争力的领域之一。CSA 2.0如果以目前版本通过,欧盟市场对中国智驾供应商而言将从"战略高地"退化为"边缘市场"。
这不仅是中国智驾企业的挑战,也是全球智驾技术演进路径上的一个重大不确定因素。
建立开源组件和第三方依赖的自动化扫描机制,跟踪CVE和生命周期状态。
建议二:提前进行产品分类评估(2025–2026年)
对照CRA分类标准,评估现有产品风险等级,明确哪些需要申请EUCC认证。
建议三:构建漏洞管理与应急响应体系(CRA 24小时报告要求)
建立漏洞发现和评估的标准化流程、与ENISA的联络机制、7×24小时应急响应团队。
建议四:布局Substantial级EUCC认证(2026年前)
对于计划进入金融、医疗、车载等高敏感市场的产品,应在2026年前启动EUCC认证申请。
建议五:建立CSA 2.0立法追踪与行业发声机制
CSA 2.0目前仍在立法程序中,最终版本是否保留现有条款仍有博弈空间。企业应联合行业协会积极发声,推动欧盟在规则制定阶段修正歧视性条款。
注:本文基于Regulation (EU) 2019/881原文、CSA 2.0提案文本(COM(2026) 11)、EUCC实施条例(2024/482)、CRA条例(2024/2847)、中国商务部官方评论及欧盟官方解读文件整理。CSA 2.0目前仍在立法进程中,最终条款可能与提案版本存在差异。
