欧盟CRA法案生效：工业OT设备CE网络安全合规路线图（2026-2027）

2024年12月11日，欧盟《网络弹性法案》（Cyber Resilience Act, CRA）正式生效。该法规将于2027年12月11日全面适用，但漏洞报告义务则从2026年9月11日开始生效。这是全球首个覆盖硬件与软件全生命周期的强制性产品网络安全法规，将对全球网络安全立法和产业升级产生重大影响。

CRA适用于所有含"数字元素"的产品(Products with Digital Elements)，覆盖对象包括工业控制系统，诸如工业网关、PLC、SCADA系统、能源监控设备等OT设备全部纳入监管。因此，网络安全合规不再是欧盟市场准入的"可选项"，而是产品进入欧盟市场的“前置条件”。

制造商核心义务深度解读

根据CRA第二章规定，制造商在产品全生命周期内须履行基本网络安全要求(essential cybersecurity requirements)和义务（obligations），违规将面临最高1500万欧元或全球营业额2.5%的罚款：
1. 设计开发阶段义务
- 安全设计义务：产品必须在设计、开发和生产阶段确保适当网络安全水平，禁止投放含已知可利用漏洞的产品。
- 风险评估义务：必须开展网络安全风险评估，并在规划、设计、开发、生产、交付和维护全阶段持续更新风险评估。
- 第三方组件尽职调查：集成第三方组件（含开源软件）时，必须检查组件制造商的合规性（检查CE标记）、核实定期安全更新、确认不存在欧洲漏洞数据库或其他公开漏洞数据库中的已登记的漏洞。
2. 漏洞管理义务
- 支持周期：明确至少5年（如产品预期使用期不足5年，则按实际使用期计算）。工业控制系统（如SCADA、PLC）通常需更长支持期。
- 漏洞处理：建立并执行协调漏洞披露政策（CVD），提供单一联系点接收漏洞报告。
- 安全更新：且更新在发布后必须至少保留10年或支持期剩余时间（以较长者为准）。
3. 信息透明义务
- 用户信息：必须提供清晰的安全安装、操作和退役说明。
- 技术文档：包括预期用途的产品描述，设计开发生产机漏洞处理流程描述，风险评估报告，测试报告，软件物料清单（SBOM）。
4. 报告义务
制造商必须向CSIRT（ComputerSecurity Incident Response Team）及ENISA（European Union Agency for Cybersecurity）同步报告以下情况：
已利用漏洞（Actively Exploited Vulnerability）：24小时内：提交早期预警（early warning notification）;72小时内：提交详细漏洞通报（vulnerability notification）；纠正或缓解措施可用后14天内：提交最终报告（final report）。
严重事件（Severe Incident）：24小时内：提交早期预警（early warning notification），72小时内：提交事件通报（incident notification）；事件通报后1个月内：提交最终报告（final report）。
制造商还必须在得知漏洞或严重事件后及时通知受影响用户，并提供风险缓解措施。

产品风险分级与合规路径

CRA依据产品关键程度划分四个等级，直接影响评估方式与资源投入：所以您需要首先了解的是您的数字产品属于哪一类产品。典型的产品的分类情况参考如下:

重要说明：CRA与EUCC强制欧洲网络安全认证及EU Artificial Intelligence Act中AI高风险系统（High-risk AI systems）的合规路径进行了综合考量，复杂产品可能需要多重认证。
 

SGS工业服务OT 团队相关合规服务介绍：

依托于强大的SGS全球各专业能力支持中心和SGS强大的品牌公信力，SGS工业服务部建立了一支技术底蕴深厚、在各行业均有丰富经验的工业安全团队。为工业自动化、工控、电力能源、石油化工、氢能、轨交等多个领域客户提供全生命周期的专业安全解决方案。

关键行动建议与时间节点

鉴于CRA的合规周期较长，SGS建议出口型企业立即启动以下工作：
- 完成产品分类判定
- 建立内部网络安全风险管理体系
- 评估现有产品与CRA要求的差距

同时需要按照CRA的要求于2026年9月11日（漏洞报告义务生效）前：
- 确保7×24小时漏洞监控能力，满足24小时报告时限
- 建立协调漏洞披露(CVD)政策和上报渠道
- 建立企业PSIRT能力
 

2027年12月11日前（CRA标准全面实施）

- 所有投放欧盟市场的产品满足CRA要求
- 完成CE标识合规准备
- 建立完整的技术文档体系
 
关于SGS
SGS是国际公认的测试、检验和认证机构。我们的100,000多名专业员工分布在115 个国家及地区的2,500多个分支机构和实验室，构建起全球化服务网络。凭借超过145 年的卓越经验和瑞士公司特有的精准度，我们帮助企业达到质量、合规与可持续发展的最高标准。

关于SGS工业安全团队

依托于强大的SGS全球各专业能力支持中心和SGS强大的品牌公信力，SGS工业服务部建立了一支庞大的、技术底蕴深厚、在各行业均有丰富经验的工业安全团队。为工业自动化、工控、电力能源、石油化工、氢能、轨交等多个领域客户提供全生命周期的专业安全解决方案。SGS工业服务希望通过我们的服务在充盈客户安全产品的研发实力的同时助力提升企业在国际市场中的竞争力。