资讯中心
直播回顾|一台设备出口欧盟,如何一次合规覆盖 NIS 2 + CRA + MR?

直播回顾|一台设备出口欧盟,如何一次合规覆盖 NIS 2 + CRA + MR?

原创
2026-07-17 10:08:42
展会及研讨会
作者: SGS_IND
访问次数: 20
点赞: {{ Likes }}

7月16日下午,SGS中国工业服务部 OT 网络安全团队「2026-2027 欧盟工业网络安全合规窗口期——NIS 2 × CRA × MR 三法规矩阵与 SGS 统筹攻略」专场直播圆满收官。

直播由 SGS OT 网络安全团队的三位技术专家联袂主讲——从 NIS 2 供应链传导、prEN 50742 技术落地,到 CRA 产品分类与 SGS 统筹服务,为在线观众呈现了一套完整的出口欧盟合规路线图。

「当你的设备出口到欧盟,被海关要求出示网络安全合规文件时——你是否可以提供完整的技术文档」

这正是整场直播的叙事主线:不是三个法规的分别解读,而是一台设备出口欧盟,如何通过一次全面的评估、统筹合规满足 NIS 2、CRA 和 MR的网络安全要求。

精华内容回顾
▎NIS 2:供应链传导——"不直接罚你,但客户会要求你"
在直播过程中,SGS 中国工业服务部 OT 网络安全团首先拆解了 NIS 2 指令的"长臂管辖"效应:NIS 2 虽然不直接处罚中国的生产制造商,但欧盟客户/业主受法律约束,必须管控供应链风险,因此会通过合同条款将合规责任传导至供应商。无法通过客户/业主的安全审核,面临的不是罚款,而是丢单、被剔出供应链。
NIS 2 覆盖 Annex I 基本实体(能源、交通、银行、医疗等)和 Annex II 重要实体(制造业、食品、化工等),核心义务包括风险管理体系建设(网络安全由管理层最终责任)、重大事件 24h 初步报告 + 72h 详细报告、以及供应链安全尽职调查。截至 2026 年中,约 18 个成员国已完成国内法转化,监管重心已从"立法落地"转向"合规执法"。

▎MR:首次将网络安全写入机械本质安全
EU 2023/1230 MR机械法规于 2027 年 1 月 20 日强制实施,这是历史上第一次将网络安全要求写入机械产品的本质安全要求(Annex III)。核心条款:Annex III §1.1.9机械不得因恶意行为产生危险;控制系统须防止未经授权交互;远程通信不会导致危险;§1.2.1 控制系统须承受预期和意外的外部影响,包括"合理可预见的第三方恶意企图"。
直播过程中SGS 中国工业服务部 OT 网络安全团队详细拆解了 prEN 50742 的核心概念:
• Corruption(功能腐败):系统完整性受损——例如紧急停止功能因网络入侵被禁用,或安全速度控制被恶意篡改——直接违反 MR 要求。
• Intervention(干预):修改机器或其软件/数据的任何行动——无论是有意还是无意。包括维护工程师用错误版本固件覆盖安全 PLC 程序、技术人员通过 HMI 修改安全限速参数、恶意人员通过 USB 插入恶意配置文件。
prEN 50742 提供两条合规路径:
• Approach A:基于 ISO 12100 机械安全风险评估 → 识别安全功能及依赖项 → 威胁建模 → 确定安全措施。核心要求是"识别可能削弱安全保护措施的 cyber threats"。多数制造商倾向此路径,启动门槛低、周期短。
• Approach B:基于 IEC 62443 系列标准——IEC 62443-4-1(安全开发生命周期)+ 3-3(系统安全要求)或IEC 62443-4-2(组件安全要求)。覆盖产品全生命周期,工作量更大,但网络安全能力和产品竞争力更强。
直播过程中,OT安全专家特别强调了 Exposure Level(EL)分级:从 EL0(完全可信环境)到 EL4(不可信网络),连接形式包括网络连接、无线连接、物理线缆、电源线、光纤链路、读卡器接口——甚至设备安装和维护阶段的临时连接也须纳入考量。

▎CRA:管辖"产品"——"可证明安全,而非声称安全"
SGS 中国工业服务部 OT 网络安全团队联合主讲 CRA 板块,这是当天信息密度最高的环节。
CRA 于 2024 年 12 月 10 日正式生效,核心原则:「制造商须可证明安全,而非声称安全」。法案确立了全生命周期责任——制造商需对产品从设计、生产到退市全程负责,提供至少 5 年支持周期。
CRA 根据产品被攻击后的潜在影响程度,建立三级分类体系:
• Default(默认类):未被列入重要和关键清单的所有数字产品。
• Important Class I(重要 I 类):覆盖 19 类核心网络安全产品(如身份管理、密码管理器、VPN 等)。
• Important Class II(重要 II 类):执行网络安全防护功能且被攻击后影响更大的产品(如防火墙、虚拟机监控系统、防篡改微处理器等)。
• Critical(关键类):NIS 2基础实体的关键依赖,被攻击可能导致严重供应链中断,最高合规等级。
特别强调了一个关键概念——"实质性修改":旧产品若发生实质性修改,将自动转化为"新产品",需立即满足 CRA 全部合规要求,无过渡期缓冲。这对产品迭代频繁的工业设备厂商影响重大。
关于漏洞报告义务,SGS 工业OT安全团队指出两个容易忽略的细节:一是报告义务覆盖所有在役产品(含 2027 年前上市产品),二是并非所有漏洞都需强制通报——如善意测试等类型不要求强制上报。但对于被主动利用的漏洞和严重安全事件,必须在 24 小时内通过 ENISA 单一报告平台(SRP)上报。

▎三法规矩阵 + 行动时间轴
SGS 中国工业服务部 OT安全团队用两个经典比喻厘清法规协同:
「CRA 是"盾",MR 是"甲"——CRA 是横向法规,为所有带数字元素的产品设定通用网络安全基线;MR 是纵向网络安全哈法规,专门针对机械这个品类提出网络安全要求。」
「CRA 管"产品出生",NIS 2 管"产品使用环境"——CRA 和 MR 为 NIS 2 实体提供了"合规的采购对象"。欧盟客户采购同时满足 CRA 和 MR 的产品,方能证明其供应链安全措施到位。」
在结尾环节,SGS 中国工业服务部 OT 网络安全团给出三个关键行动节点:
🔴 2026年9月11日 — CRA 漏洞报告义务生效(ENISA SRP 平台上线)
🔴 2027年1月20日 — 新机械法规 MR 强制执行
🔴 2027年12月11日 — CRA 全面合规义务落地
并总结道:「三法规不是三个独立的合规项目。SGS 的统筹策略就是帮你找到"最小合规集合"——通过一次尽可能全面的评估同时支撑 NIS 2 供应链审核、CRA 产品评估和 MR 网络安全要求。从现在启动差距分析、整改、评估、认证——窗口期争取时间。」
直播过程中,SSGS 中国工业服务部 OT 网络安全专家与听众进行了Q&A互动,从评论区挑选高频问题现场解答,旨在尽可能帮助中国产品生产制造商客户解答在欧盟法规合规实践过程中的疑惑。


SGS给你的三步行动建议

▶ 第一步:启动差距分析
确认产品范围、判定 CRA 风险等级、识别适用法规。一套设备/产线出口欧盟,先把"受哪些法规管、管到什么程度"理清楚。
▶ 第二步:完成整改
建立安全开发生命周期流程、实施安全设计、准备技术文件。从产品设计到文档体系,系统性补齐网络安全能力。
▶ 第三步:统筹评估认证
以 IEC 62443 等国际最佳安全实践为技术路径,同时参考CRA 及MR法规中的具体标准要求为要求支撑,尽可能全面的进行评估审核,以便同时支撑 NIS 2、CRA、MR 三重合规要求。找到"最小合规集合",最大化评估投资回报。

关于 SGS 及OT安全服务
SGS 是国际公认的测试、检验和认证机构,被誉为可持续发展、质量和诚信的基准。100,000 多名专业员工分布在 115 个国家及地区的 2,500 多个分支机构和实验室,构建起全球化服务网络。凭借超过 145 年的卓越经验,帮助企业达到质量、合规与可持续发展的最高标准。
SGS 工业服务部 OT安全团队专注于运营技术(OT)领域的网络安全评估与合规服务,为客户提供覆盖产品全生命周期的培训,咨询评估,审核认证服务提体系:包含 IEC 62443 系列标准评估、欧盟 CRA 合规差距分析、机械法规(MR)网络安全评估(prEN 50742)、威胁分析与风险评估、漏洞管理与 SBOM 建设等核心业务,致力于为中国制造企业的全球化进程提供可信赖的OT安全保障。

本文著作权归SGS所有,商业转载请联系获得正式授权,非商业请注明出处

需要更多信息?

我们最快2小时内联系您

手机号码 电子邮箱

*自动注册会员,在线查看咨询进度

立即咨询
我已阅读并同意 隐私政策

发送成功

您的咨询信息已收到,我们将尽快与您联系!

用户账号:{{ form.phone || form.email }}

已为您注册SGS在线商城会员
可使用账号快捷登陆

到“我的咨询”查看咨询进度

{{countdownTime}}秒后自动跳转

扫码关注SGS官方微信公众号, 回复“0”赢惊喜礼品!