从IEC 62443到CRA合规：降低工业控制系统欧盟市场准入成本的关键路径

随着欧盟《网络弹性法案》（Regulation (EU) 2024/2847，简称 CRA）于2024年12月正式生效，全球工业控制系统（ICS）供应商进入欧盟市场的网络安全合规门槛全面提升。理解和满足CRA的合规要求已成为工业控制器、工业网关、PLC、SCADA 系统、安全组件等产品进入欧盟市场的必要条件。

CRA的核心要求
CRA根据产品风险等级，将含数字元件的产品分为四个类别，适用不同的符合性评估程序： 

CRA 的4种评估程序：
Module A - 自我评估： 制造商基于内部生产控制进行自我声明，适用于默认类产品
Module B - 型式检验： 公告机构（Notified Body）进行型式检验并颁发型式检验证书
Module C - 基于内部生产控制的符合性： 基于型式检验的持续生产符合性验证
Module H - 全面质量保证： 公告机构对生产全过程进行监督审核

CRA 针对供应商及产品的安全技术核心要求（法案Annex I）
■ 安全设计：默认安全配置、最小攻击面、深度防御、安全编码等。
■ 漏洞管理：漏洞接收、验证、修复、披露全闭环，24 小时上报主动利用漏洞或重大安全事件等。
■ 安全更新：免费安全更新、自动更新（默认开启）、更新留存 10 年、支持周期至少 5 年等。
■ 供应链安全：SBOM 编制、第三方组件尽职调查、漏洞闭环管理等。
■ 数据安全：数据加密、访问控制、数据最小化、安全退役数据擦除等。

CRA针对供应商的监管与处罚要求
■ 漏洞上报：主动利用漏洞或重大安全事件 24 小时内上报CSIRT。
■ 文档留存：技术文档、漏洞处理记录、更新日志留存 10 年。
■ 产品标识：产品必须带有CE标识，表明符合CRA要求。起草技术文档并持续更新。
■ 处罚力度：不超过1500万欧元或全球营业额2.5%的罚款（取其高者），产品禁售、召回。

CRA的协调标准：EN 40000
EN 40000系列是CRA指定的横向协调标准，旨在为制造商提供技术合规路径。截至本文发布时，以下标准处于草案阶段：
■ prEN 40000-1-1：术语。
■ prEN 40000-1-2：网络弹性原则，该标准草案明确引用了EN IEC 62443-4-2作为网络安全控制措施目录之一。
■ prEN 40000-1-3：漏洞处置与安全更新管理，该标准草案细化了ISO/IEC 29147与ISO/IEC 30111的相关要求和实践。
■ prEN 40000-1-4：产品通用安全技术要求。
（注：EN IEC 62443是IEC 62443的欧盟采纳版，标准内容一致。）

IEC 62443——工业控制系统CRA合规的重要基石
IEC 62443 是工业自动化与控制系统（IACS）网络安全领域的全球权威标准，是CRA横向协调标准的引用标准之一，是工业控制系统供应商开展CRA合规工作的重要基石。
•    IEC 62443-4-1的实践（Practice）与IEC 62443-4-2的基础要求（foundational requirements）与CRA Annex I Part II的安全要求高度接近。
•    prEN 40000-1-2直接引用EN IEC 62443（与IEC 62443内容一致），其网络安全原则（Cybersecurity Principle）与IEC 62443相关内容高度接近。

基于IEC 62443的CRA合规路径
在实施IEC 62443 的基础上，对CRA要求进行差距弥补，将大幅降低成本与难度，是工业控制系统供应商进入欧盟市场稳妥、高效的合规路径。

SGS为您提供的服务
■ 标准化培训：CRA框架介绍。
■ 深度研讨会：CRA 解读，产品合规性研讨，差距分析。
■ CRA合规差距评估：针对特定客户产品的系统性评估，识别CRA 合规差距并提供改进建议，包括差距分析（对照CRA要求）、风险分析审查、文档审查。
■ 基于IEC 62443 的CRA 合规评估：根据IEC 62443-4-1、IEC 62443-4-2的实施状况，分析与CRA 要求的差距。
■ 漏洞管理合规性评估：基于ISO / IEC 29147，ISO / IEC30111及 EN 40000系列的漏洞处理管理和漏洞披露合规性评估。

关于SGS工业安全团队
依托于强大的SGS全球各专业能力支持中心和SGS坚实的品牌公信力，SGS工业服务部建立了一支庞大的、技术底蕴深厚、在各行业均有丰富经验的工业安全团队。为工业自动化、工控、电力能源、石油化工、氢能、轨交等多个领域客户提供全生命周期的专业安全解决方案。SGS工业服务希望通过我们的服务在充盈客户安全产品的研发实力的同时助力提升企业在国际市场中的竞争力。
SGS是国际公认的测试、检验和认证机构。我们的100,000多名专业员工分布在115 个国家及地区的2,500多个分支机构和实验室，构建起全球化服务网络。凭借超过145 年的卓越经验和瑞士公司特有的精准度，我们帮助企业达到质量、合规与可持续发展的最高标准。