欧盟法规重构 CRA全面取代RED

2025年下半年，某国内智能家电制造商出口欧盟的一批WiFi智能烤箱遭成员国海关扣留，原因是产品仅符合原RED指令EU2014/53的无线电合规要求，未覆盖网络安全防护条款，而当地监管已提前参照CRA草案加强审查。企业紧急整改、补充安全测试与文档，耗时3个月才完成清关，直接损失超百万元，还延误了新品上市窗口期。

一、法规迭代核心：RED退场，CRA全面接棒

欧盟网络安全监管体系正迎来近十年最彻底的重构，核心标志就是现行RED无线电设备指令EU2014/53将被正式废止，由《网络韧性法案》（Cyber Resilience Act，简称CRA）全面接管监管权限。该法案（Regulation EU2024/2847）已于2024年11月正式发布，2024年12月10日生效，2027年12月11日起全面实施，届时RED指令将彻底退出欧盟监管舞台。

杨工深耕检测认证行业十余年，见证欧盟多轮法规更新，此次CRA替代RED绝非简单的版本升级，而是监管逻辑的根本性变革。过往RED指令聚焦无线电设备的射频安全、电磁兼容等基础指标，监管范围窄、要求低；而CRA以“安全设计、默认安全、全生命周期防护”为核心原则，构建起覆盖数字产品全链条的网络安全监管框架，堪称欧盟数字产品的“安全宪法”。

二、过渡期明确：2027年底前合规缓冲，企业需抢抓窗口期

为避免市场波动，欧盟设置了清晰的过渡期安排，这也是当前出口企业最需关注的时间节点。自CRA生效至2027年12月10日为合规缓冲期，期间仅符合RED指令要求的产品仍可在欧盟市场正常流通、销售，不受CRA强制条款约束。

但需警惕两个关键前置时间点：2026年6月11日起，负责CRA合规评估的公告机构需完成资质备案；2026年9月11日起，制造商需履行产品安全漏洞与事故的强制报告义务，提前进入CRA合规预备阶段。

杨工在此提醒广大制造商与卖家，过渡期不是“合规豁免期”，而是“整改黄金期”。若企业仅依赖原有RED合规资质，忽视CRA要求，2027年12月11日后产品将直接失去欧盟市场准入资格，面临下架、召回甚至罚款风险。提前布局、分步整改，才能平稳实现合规过渡。

三、监管范围大幅扩容：全品类联网产品纳入强制合规

相较于RED指令仅覆盖无线电设备，CRA监管范围实现跨越式扩容，覆盖所有含数字元素且可联网的软硬件产品，几乎囊括当前主流消费电子与智能设备品类。

硬件层面，涵盖路由器、交换机等网络设备，智能冰箱、空调、灯具等全屋智能家电，智能手机、笔记本、智能手表等消费电子，以及工业控制器、智能电表等工业联网设备。软件层面，不仅包括预装在设备中的固件、操作系统，还涵盖独立销售的办公软件、移动应用、游戏程序等，只要具备联网功能，均纳入监管。

同时，CRA明确了少量豁免品类，包括已受医疗器械、航空、汽车等专项法规监管的产品、非商业开源软件、纯SaaS服务等，但企业需注意，将开源代码集成至商业产品时，仍需承担对应合规责任。杨工强调，判断产品是否适用CRA，核心看“是否含数字元素+是否可直接/间接联网”，而非产品形态，这一点需企业精准把握，避免遗漏合规义务。

四、核心合规要求升级：全生命周期筑牢网络安全防线

CRA的核心要求围绕“网络韧性”展开，相较于RED指令，合规维度更全、标准更严、责任更重，核心聚焦三大方面。

（一）安全设计与开发

强制要求制造商将网络安全融入产品设计开发全流程，采用“安全 by design”原则，从源头减少安全漏洞。包括使用加密技术保护数据传输与存储、定期开展安全风险评估、修复已知漏洞、限制不必要的网络访问权限等，杜绝“重功能、轻安全”的开发模式。

（二）全生命周期安全维护

制造商需承担产品全生命周期安全责任，安全支持期限不得少于5年（自产品投放市场之日起），期间需持续提供安全更新、漏洞修复服务，及时响应安全事件。同时，需建立漏洞处理机制，发现安全漏洞后不得拖延，需立即评估风险、制定修复方案并通知用户，杜绝漏洞“带病运行”。

（三）强制报告与责任追溯

2026年9月11日后，产品发生安全漏洞、数据泄露、网络攻击等安全事故，制造商必须在规定时限内向欧洲网络安全局（ENISA）主动通报，隐瞒不报将面临严厉处罚。此外，CRA明确了制造商、进口商、分销商的分级责任，实现“从研发到销售”的全链条责任追溯，倒逼各方重视合规。

五、合规影响深远：企业需提前布局应对挑战

CRA的全面实施，对出口欧盟的制造商与卖家而言，既是合规挑战，也是提质升级的机遇，影响贯穿产品研发、生产、销售全链条。

短期来看，企业合规成本将有所增加，需投入资金用于安全技术研发、产品安全测试、合规文档编制、人员培训等，尤其是中小企业，需合理规划预算，避免合规压力过大。长期来看，CRA将推动行业优胜劣汰，重视网络安全、提前合规布局的企业，将获得欧盟市场认可，提升产品竞争力；而忽视安全、合规滞后的企业，将逐渐被市场淘汰。

杨工结合多年行业经验建议，企业需立即行动：一是开展产品合规自查，梳理产品是否在CRA监管范围内，排查现有网络安全隐患；二是对照CRA要求，完善产品安全设计与开发流程，建立全生命周期安全管理机制；三是提前对接具备CRA评估资质的机构，熟悉合规流程，准备相关测试与认证材料；四是加强内部培训，提升研发、生产、销售团队的网络安全合规意识，确保合规要求落地执行。

六、总结

欧盟CRA法案替代RED指令，是全球网络安全监管趋严的重要信号，标志着欧盟对数字产品的监管从“基础安全”迈向“全生命周期韧性防护”新阶段。2027年12月11日的最终截止时间，是所有出口欧盟企业必须牢记的合规节点，而当前过渡期正是企业整改布局的关键期。

对于广大制造商与卖家而言，需认清法规迭代趋势，摒弃侥幸心理，主动拥抱合规变革，将网络安全融入产品全流程，不仅要满足CRA强制要求，更要以合规为契机，提升产品安全质量与核心竞争力，才能在欧盟市场站稳脚跟，实现可持续发展。