夜雨聆风CRA 合规流程全指南从路径选择到文档准备,一篇讲透合规实务 确定了产品分类之后,企业面临的下一个关键问题是:如何走完 CRA 合规流程?需要准备哪些文档?漏洞怎么处理?什么时候要向欧盟报告? 本文系统梳理 CRA 合规路径选择、技术文档编制、用户信息披露、漏洞处理与报告机制四大核心模块,为出海企业提供可落地的合规操作框架。 |
一、合规路径:四条路怎么选?
CRA 根据产品分类提供不同的合格评定程序,核心区别在于是否需要公告机构(Notified Body)介入。
| 合规路径 | 模块 | 需 NB |
|---|---|---|
| 内部控制流程 | Module A | 否 |
| 欧盟型式检验 | Module B + C | 是 |
| 全面质量保证 | Module H | 是 |
| 欧盟网络安全认证 | EUCC | 是 |
各分类对应的合规路径
| 产品分类 | 可选路径 | 推荐 |
|---|---|---|
| 默认类 | Module A(唯一路径) | Module A |
| 重要一类 | Module A* / B+C / H | Module A(需完全应用协调标准) |
| 重要二类 | B+C / H | B+C 或 H |
| 关键类 | EUCC / B+C / H | EUCC(首选) |
Module A 操作流程 准备技术文档 → 进行合规评估 → 签署 EU 符合性声明 → 加贴 CE 标志 → 投放市场 整个过程无需公告机构参与,适用于绝大多数电力电子产品的默认类。 |
注意:重要一类产品选择 Module A 的前提是完全应用协调标准。如果仅部分应用,则需要选择 Module B+C 或 Module H,引入公告机构审核。 |
二、技术文档:CRA 要求准备什么?
根据 CRA Annex VII,技术文档必须包含以下八大模块:
| 文档模块 | 核心内容 |
|---|---|
| 1. 一般描述 | 预期用途、软件版本、产品照片/图示、内部布局 |
| 2. 设计开发生产 | 系统架构图、软件组件架构、设计/开发/生产流程、验证流程 |
| 3. 网络安全风险评估 | 威胁建模、风险分析、风险缓解措施 |
| 4. 支持期限 | 支持期限长度及确定依据 |
| 5. 协调标准应用 | 完整或部分应用的协调标准、部分应用时的替代方案 |
| 6. 测试报告 | 合规性测试报告、验证测试报告 |
| 7. EU 符合性声明 | EU DoC 副本 |
| 8. SBOM | 软件物料清单(如适用) |
SBOM:软件供应链透明化的核心工具
软件物料清单(SBOM)是产品中所有软件组件的详细清单,对漏洞管理和供应链安全至关重要。
SBOM 应包含的信息: 组件名称(如 OpenSSL、FreeRTOS) · 版本号 · 供应商/维护者 · 开源许可证类型 · 下载源(URL) · 哈希值(SHA-256) · 组件间依赖关系 推荐格式:SPDX、CycloneDX 或 SWID Tags |
支持期限:至少 5 年
制造商必须承诺提供安全更新的支持期限,下限为 5 年(除非产品预期使用寿命不足 5 年)。
支持期内的义务包括:提供安全更新、处理漏洞、响应安全事件、维护漏洞报告渠道。技术文档须保存至少 10 年(从最后一批产品投放市场之日起算)。
三、用户信息:企业必须披露什么?
CRA 要求制造商向用户披露完整的产品安全信息,涵盖以下类别:
制造商信息:名称、注册商标、地址、联系方式 |
安全指令的五大模块
| 模块 | 要求说明 |
|---|---|
| 安装配置 | 初始安全配置步骤、网络配置、首次使用设置 |
| 安全更新 | 如何安装更新、更新重要性、自动更新管理 |
| 变更影响 | 变更对数据安全和功能安全的影响说明 |
| 安全处置 | 数据删除、凭证撤销、设备重置方法 |
| 产品集成 | 安全集成到其他产品的方法、集成风险评估 |
四、漏洞处理:从发现到报告
CRA Annex I Part II 规定了 8 项漏洞处理要求,构成产品全生命周期的安全管理框架:
| # | 要求 | 说明 |
|---|---|---|
| 1 | 识别和记录漏洞及组件 | 含 SBOM 编制(顶层依赖) |
| 2 | 及时修复漏洞 | 安全更新尽量与功能更新分离 |
| 3 | 定期安全测试和审查 | 有效且定期的安全测试 |
| 4 | 公开披露已修复漏洞信息 | 含描述、影响、严重性、修复指导 |
| 5 | 协调漏洞披露(CVD)政策 | 建立和执行 CVD 政策 |
| 6 | 促进漏洞信息共享 | 提供联系地址供外部报告 |
| 7 | 安全分发更新机制 | 含自动安全更新 |
| 8 | 及时免费发布安全更新 | 含提示信息(B2B 定制产品除外) |
五、法定报告:何时向欧盟报告?
CRA Article 14 规定了两种法定报告义务,触发条件和时间要求各不相同:
触发条件 1:被积极利用的漏洞
报告时间线(从知悉起): 24 小时早期预警 → 指明受影响成员国 |
触发条件 2:严重事件
严重事件指:影响数据的可用性/真实性/完整性/机密性,或导致恶意代码引入。
24 小时早期预警 → 是否疑似恶意行为、受影响成员国 |
报告渠道:通过 ENISA 单一报告平台提交,同时提交给 CSIRT 协调员和 ENISA。 |
合规检查清单
10 步合规操作清单 ❶ 确定产品分类(Default / I / II / Critical) |
