在线客服系统

18033440012

欢迎访问深圳市国为检测服务有限公司官网!

24小时服务电话:

行业动态

为您提供专业,快捷,满意的认证咨询服务

首页 >> 新闻资讯 >>行业动态 >> 哪些产品要做CRA认证 prEN40000标准划重点
详细内容

哪些产品要做CRA认证 prEN40000标准划重点

时间:2026-06-23     作者:国为检测

在欧盟数字市场准入的合规版图上,一部被称为 "史上最严网络安全法规" 的法案正在加速落地。它就是《网络弹性法案》(Cyber Resilience Act,简称 CRA)。这部法规以 "安全从设计开始" 为核心理念,将网络安全要求贯穿产品全生命周期,对所有进入欧盟市场的数字产品提出了前所未有的高标准要求。对于广大出口企业和制造商而言,准确把握 CRA 的管控边界,是做好合规布局的第一步。本文将结合 prEN40000 系列标准的技术要求,系统梳理 CRA 的适用范围、管控产品类别与豁免情形,帮助大家清晰判断自家产品是否需要启动合规准备。

prEN40000标准

一、CRA 管控范围:带数字元素的产品,几乎全覆盖

首先要明确一个核心概念 ——"带有数字元素的产品"。这是 CRA 法规的基本适用单元,也是判断你的产品是否在管控范围内的第一道门槛。

什么叫 "带有数字元素"?简单来说,只要你的产品包含软件或硬件组件,并且能够直接或间接与设备或网络建立逻辑或物理数据连接,能够处理、存储或传输数据,那就属于 CRA 的管辖范畴。注意杨工说的是 "直接或间接",不是说必须插网线连 WiFi 才算。很多产品看似不直接联网,但只要能通过蓝牙、USB、NFC 等方式与其他设备交换数据,同样在管控之列。

这里有个很容易被忽视的点:CRA 不仅管最终成品,还管单独上市的组件。也就是说,哪怕你不做整机,只做某个芯片模组、某个软件模块,只要这个组件是单独投放市场的,照样要合规。这一点对供应链上游的企业影响尤其大,千万不要觉得 "我只是供应商,合规是品牌方的事"。在 CRA 的框架下,责任是沿着整条供应链传导的。

二、典型管控产品清单:这些品类一个都跑不了

根据 prEN40000 系列标准的分类指引,杨工把常见的受管产品归为三大类,大家可以对照自查。

第一类是终端与网络设备。 这是最直观的一类,包括智能手机、笔记本电脑、平板电脑、路由器、交换机、防火墙、传感器、摄像头、智能扬声器、智能电表、智能卡等等。凡是消费者日常能接触到的、带有联网功能的电子设备,基本都在这个范围内。杨工特别提醒一下,很多人以为只有消费电子才算,其实工业领域的网络设备、控制系统同样在列,而且因为涉及关键基础设施,合规要求可能更严格。

第二类是软件产品。 这是很多企业容易忽略的重灾区。CRA 管的不只是硬件,还包括独立上市的软件,比如操作系统、固件、移动应用程序、桌面应用程序,甚至视频游戏软件也在管控范围内。没错,你没听错,游戏软件也要符合 CRA 的网络安全要求。很多游戏厂商之前只关注内容分级和版权,现在要把网络安全也提上日程了。还有嵌入式软件,就是那种烧录在硬件里、用户看不见摸不着但设备运行全靠它的固件,同样跑不掉。

第三类是物联网与工业设备。 这几年物联网发展迅猛,智能门锁、智能家电、可穿戴设备、工业机器人、工业控制系统、智能玩具…… 这些产品因为安全防护普遍薄弱,恰恰是网络攻击的重灾区,也是 CRA 重点关注的对象。杨工接触过不少做智能家居的企业,之前对网络安全这块投入不多,现在都在紧急补短板。毕竟,要是因为 CRA 不合规被拦在欧盟市场外面,损失可不是一点半点。

三、豁免产品清单:这几类确实不用做,但别乱蹭

说完了要管的,再说说哪些产品不在 CRA 的管控范围内。杨工发现,很多企业一听到 "豁免" 两个字就特别兴奋,恨不得把自己的产品往豁免类别里靠。但杨工要泼盆冷水:豁免是有严格条件的,不是沾点边就能算。

第一类是已有专属法规的行业产品。 具体来说,包括医疗器械(受 MDR/IVDR 法规管辖)、机动车辆(受车辆通用安全法规管辖)、民用航空产品、海事设备,以及国防和国家安全相关产品。这些领域已经有极其严格的专门法规在管网络安全问题,因此 CRA 不再重复覆盖。但注意,是 "专属法规覆盖的产品" 才算,不是说你这个产品用在医疗行业就自动豁免。比如医院里用的普通办公电脑,该合规还是得合规。

第二类是非商业性质的开源软件。 如果你只是在社区里免费分享开源代码,不涉及商业变现,那确实不受 CRA 管辖。但这里有个大坑:如果企业把开源代码集成到自己的商业产品里拿去卖,那企业就要为这部分代码的安全负责。杨工见过太多企业,以为用了开源软件就万事大吉,出了问题才发现锅还得自己背。

第三类是纯云端服务软件。 纯粹的 SaaS 服务、云计算服务,一般不纳入 CRA 的直接管控范围,因为这些更多由 NIS2 指令等其他法规来管。但同样有例外:如果这个云端服务是产品运行所必需的远程数据处理功能,是产品不可分割的一部分,那还是要算进来。所以不要一看到 "云" 字就觉得可以豁免,得具体分析服务和产品的关系。

四、时间节点与合规建议:现在行动,还来得及

很多人问杨工:CRA 什么时候正式执行?杨工在这里给大家划两个关键时间点。

第一个时间点是 2026 年 9 月。 从这个时候开始,部分报告义务和一些过渡性要求将率先启动。比如漏洞披露机制、安全事件报告等,企业需要提前搭建好相应的流程和体系。

第二个时间点,也是最重要的时间点,是 2027 年 12 月。 到那个时候,CRA 将全面执行,所有投放到欧盟市场的受管产品都必须符合法规要求,打上 CE 标志才能销售。也就是说,从现在算起,大家还有一年半左右的准备时间。

一年半,说长不长,说短不短。杨工的建议是:现在就开始梳理产品清单,提前布局 CRA 合规。不要等到最后几个月才急急忙忙动手,到时候认证机构排期都排不上,哭都来不及。

具体怎么做?杨工给大家三条建议。第一,先做产品盘点,把你所有销往欧盟的产品列个清单,对照 CRA 的管控范围逐一判定,哪些在管、哪些豁免,心里要有数。第二,对照 prEN40000 系列标准的要求,做一次差距分析,看看自己目前的产品在安全设计、漏洞管理、更新支持等方面还差多少。第三,根据差距分析的结果,制定整改计划,该改设计改设计,该补流程补流程。合规这件事,早做早安心。

五、总结

CRA 不是欧盟拍脑袋想出来的,而是近年来网络安全事件频发、数字产品安全问题日益突出背景下的必然产物。对于广大卖家和制造商来说,这既是挑战,也是机遇。越早布局合规,就能越早建立竞争优势。

杨工在检测认证行业摸爬滚打十几年,见过太多企业因为对法规变化反应迟钝,等到船到江心才补漏,付出了惨痛的代价。也见过不少企业提前布局,把合规变成了自己的市场壁垒。CRA 这道坎,迟早都要过。与其被动等待,不如主动出击。

当然,CRA 合规是个系统工程,涉及产品设计、供应链管理、文档体系、测试认证等方方面面,不是三言两语就能说透的。如果大家在具体产品判定、合规路径规划上有疑问,欢迎随时和杨工交流。毕竟,专业的事交给专业的人,能少走很多弯路。

客户服务

联系方式

全国统一服务热线

18033440012

深圳市国为检测服务有限公司


咨询热线:18033440012

业务联系人:杨先生

公司地址:深圳市宝安区西乡街道南昌社区南昌路60号前海智创科技产业园A区212

国为检测版权所有 粤ICP备13056570号-3



seo seo