相信许多朋友，都在思考该如何应对将于2027年正式实施的《欧洲网络弹性法案（CRA）》。我们飞斯柯罗在与各行业客户，尤其是农业机械与工程机械制造商的交流过程中，直接听到了大家在CRA应对方面的现实困惑。

本期的研讨会，正是为了帮助大家消除这些疑问，并为制定切实可行的应对战略提供参考而准备的。我们将一起了解CRA认证的适用对象与流程、所需的成果文件，以及核心网络安全要求的本质与意义。

在进入正式内容之前，请允许我先简要介绍一下我们飞斯柯罗在“网络安全法规方面的专业实力“。

首先，我们具备国际级的技术可信度。通过了美国FIPS 140-2认证，证明了我们在加密算法与安全模块方面的稳健性；同时通过了A-SPICE Level 2认证，软件开发质量也完全符合国际标准。

其次，我们拥有丰富的法规应对成功经验。飞斯柯罗为多家全球整车制造商提供汽车网络安全法规认证咨询，实现了行业内的“法规认证大满贯”。近期，我们还成功中标了全球农机制造商的CRA应对项目，将专业领域进一步扩展至整个移动出行产业。

最后，我们具备全球竞争力。飞斯柯罗的安全解决方案，已在8家整车制造商、超过160个控制器中量产应用。此外，我们与全球权威认证评估机构TÜV Nord签署了战略合作伙伴关系，持续巩固我们在国际市场的领先地位。

在本期研讨会中，我们将基于这些经过验证的经验与专业知识，与各位分享应对CRA法规的实用洞察与策略。

■ 问题LIST

1. 2027年将要实施的CRA是什么？

2. CRA认证的获取流程是怎样的？

3. 如果不遵守CRA，会受到处罚吗？

4. 哪些企业需要遵守CRA？

5. 不同等级（Class）之间的评估方式会有所不同吗？

6. 为获得CRA认证，需要准备哪些成果文件？

7. 只要获得CRA认证，法规应对工作就结束了吗？ 

8. 获得认证之后，如何高效地运营与管理网络安全工作？

1. 2027年将要实施的CRA是什么？

---

首先，我先为大家介绍一下CRA的基本概念。CRA是Cyber Resilience Act的缩写，中文名称为《网络弹性法案》。

为应对日益增长的网络安全威胁，该法案旨在构建一个安全且具备高弹性的欧洲数字生态系统。是欧盟不可或缺的法律框架之一。通过CRA，欧盟希望弥补现有的网络安全漏洞，统一成员国之间的监管体系，并在此基础上提升消费者保护水平和企业运营的稳定性。

CRA是一项适用于向欧盟市场出口产品的企业的欧盟法规（EU Regulation），其适用对象为“内置数字元素的产品“。所谓内置数字元素的产品，是指包含软件（SW）或硬件（HW）组件，以及相关的远程数据处理解决方案的产品。此类产品的用途通常涉及与网络或设备的直接或间接、物理或逻辑层面的数据连接。也就是说，只要具备广义上的直接或间接连接能力的产品，都属于CRA的适用范围。

因此，任何计划在欧盟市场销售含数字元素产品的企业，都必须遵守CRA的要求。开展CRA合规性评估，并在产品上加贴CE标志（CE Mark）以示符合规定。

2. CRA认证的获取流程是怎样的？

---

CRA认证获取的流程主要涉及三类主体。制造商、NB机构（Notified Body）、以及通报主管机构（政府机构，Notifying Authority）。

首先，通报主管机构负责指定NB机构。

当制造商确保其网络安全措施符合《网络弹性法案》（CRA）的要求后，需要通过NB机构（Notified Body）进行评估。

NB机构（Notified Body）会根据提交的资料和审查结果，颁发CRA合格认证证书。

制造商凭此证书即可在产品上加贴CE标志（CE Mark），并在欧盟市场进行销售。

最后通报主管机构（Notifying Authority）负责监督和评估这些合格评定机构的工作，确保其履行职责、评估公正。

 

那么，产品获得了CRA相关的合格评定认证后，制造商就不需要再进行其他应对工作了吗？

不是的。负责监管市场上产品是否符合法规的市场监督当局（Market Surveillance Authority），在有“正当理由”的情况下，可以要求制造商提供与网络安全相关的内部文件。也就是说，即便通过了评估和认证，制造商仍需持续开展网络安全管理工作。

4. 哪些企业需要遵守CRA？

---

凡是在2027年12月以后计划向欧盟市场推出含有数字元素的产品的企业，都必须遵守CRA。

由于该法规的适用范围非常广，今天的研讨会我们将重点放在“出行与移动（Mobility）”领域来说明。

首先，

  1. 对于乘用车或商用车制造企业而言，CRA本身并不直接适用。这些企业依旧只需遵守UN R155网络安全法规即可。

  2. 而此前未受到类似网络安全法规监管、却在欧盟市场销售产品的企业，则将纳入CRA的适用范围。例如， 销售拖拉机等农用机械的企业；销售工程机械、建筑设备的企业；销售机器人的企业等。此外，销售物联网（IoT）产品的企业也必须考虑CRA的合规要求。

那除了制造商之外，在整个产业链中还有进口商和经销商。这些企业也需要遵守CRA吗？

是的，没错。CRA不仅对制造商提出了合规义务，还在独立条款中明确规定了进口商和经销商的责任与义务。也就是说，凡是在欧盟市场销售产品的企业，无论是制造商、进口商还是经销商，都必须遵守CRA的相关要求。

接下来我来具体说明一下CRA法规中，针对不同产品类别所划分的四个等级体系。CRA将产品分为四大类：

  1. 含有数字元素的产品

  2. 一级类别产品（Class I）

  3. 二级类别产品（Class II）

  4. 关键等级产品（Critical Class）

根据CRA法规附录Ⅲ与Ⅳ中的标准，可进一步细分第二类及以上等级的判定依据。所有这些类别的产品，都必须遵守CRA中规定的核心网络安全要求。至于附录Ⅲ与Ⅳ中所列明的、强制适用CRA的产品清单，预计将在2025年12月通过实施法案的形式正式发布并更新。

不同等级之间到底有什么区别？

接下来我先介绍各个等级的定义，也会给出产品示例。

首先，1. “含有数字元素的产品”，指的是所有落入CRA监管范围的产品，这类产品构成第一层级。

对于Class 1与Class 2两类产品，如果该产品承担着对与其相连的其他产品、网络或服务的安全至关重要的功能，或者一旦被入侵，可能对连接的其他产品、用户的健康、安全或保障造成严重不良影响的产品。

按照这一判定标准，负责制定CRA法规的欧盟委员会被要求持续更新附录Ⅲ中的产品清单。

也就是说，Class 1、Class 2以及关键级（Critical）产品目录将逐步扩充。

4. 关键级（Critical）产品，是指CRA法规附录Annex Ⅳ中所列明，且包含关键功能的那类产品。

CRA对关键级产品的设定依据主要有两点，欧盟境内（Zone）的重要机构对该产品具有高度依赖性；或一旦该产品遭到入侵，将可能中断整个欧盟市场的关键供应链，满足其一即可被认定为关键级。

5. 不同等级（Class）之间的评估方式会有所不同吗？

---

不同的产品等级（Class）会对应不同的评估方式。

若要将产品投放到欧盟市场，必须事先通过针对产品及制造商的合格评定。在介绍各产品等级对应的评估方式前，我先简单介绍一下CRA法规中定义的四种评估模式。

1. 由制造商自行执行合格评定，也就是自我管理评估方式。在CE认证体系中，这被称为“Module A”。

2. 产品需通过欧盟认可机构的型式检验认证，但生产环节由制造商自行管理，这个方式称为“Module B + C“。

3. 由欧盟认可机构对制造商的整体质量保证体系进行审核认证，并将该体系适用于企业开发与生产的所有产品，这被称为“Module H”。

4. 最后一种方式是通过欧盟正式实施的“欧洲网络安全认证制度“进行认证，该体系由欧盟网络安全局（ENISA）主管。

接下来说明各产品等级适用的评估方式。

1. 对于“含有数字元素的产品”，可以采用Module A自我管理方式。当然，也可以选择Module B+C或Module H模式。

2. 对于Class 1等级产品，则不能采用Module A。这类产品基本上必须通过欧盟认可机构的合格评定认证。其中，Module B+C指的是：产品设计阶段需接受欧盟指定机构的评估，而生产过程则可由制造商自行管理。此外，也可以采用模块 H 方式。

3. 对于Class 2等级产品，可采用Module B+C、Module H，或者通过ENISA主管的欧洲网络安全认证制度进行评估。在这一等级，欧盟认证机构会采用比Class 1更严格的审查标准。

4. 至于关键级（Critical）产品，原则上必须通过ENISA主管的欧洲网络安全认证制度。若欧盟委员会针对CRA的补充授权法规出台有所延迟，则可能临时适用Class 2等级的评估标准。

截至目前所介绍的四个等级的所有产品类别，在进行合格性评估时，共同适用的标准是《CRA 法规附录Ⅰ（Annex I）》中所规定的基本网络安全要求。也就是说，评估方法可能不同，但评估标准是一致的。

附录Ⅰ中规定的核心网络安全要求。（CRA）附录Ⅰ由两部分构成：Part Ⅰ和Part Ⅱ。

第一部分（Part Ⅰ）的核心网络安全要求列出了在产品设计阶段必须遵守的条目。包括在产品设计阶段必须执行的网络安全风险评估（TARA）相关要求，以及在产品设计中必须实现的技术性网络安全功能相关要求。

第二部分（Part Ⅱ）的核心网络安全要求则列出了制造商在流程层面必须遵守的条目。包括包含软件物料清单（SW BOM）在内的产品设计及漏洞文档化相关要求，产品在出现安全漏洞时需执行的漏洞处理及纠正措施流程、以及安全更新提供的相关要求，同时也包括确保安全更新实施的相关安全性要求。

对于初次接触网络安全的制造商来说，要自行应对这些要求可能确实会有些困难。

飞斯柯罗基于与CRA高度相似的欧洲汽车网络安全法规体系，已积累了网络安全管理体系（CSMS）认证和车辆型式批准（VTA）等成功案例。如果您在进行CRA应对过程中需要支持，可以联系飞斯柯罗，我们在网络安全法规理解与应对经验方面具有充分的专业实力。

6. 为获得CRA认证，需要准备哪些成果文件？

---

为应对CRA认证，需要准备的成果文件已在《网络弹性法案（CRA）》附录Ⅶ中明确列出。

CRA认证流程会根据产品的特性，选择合适的合格评定方式来进行。正如之前介绍过的，有三种可选模块：Module A、Module B+C、Module H。虽然评定模块有不同选项，但实际执行合格评定的程序与标准是一致的。

在产品进行合格评定时，适用的评估标准是CRA附录Ⅰ中列明的核心网络安全要求。而在评定过程中，所需提交和审查的成果文件，则是CRA附录Ⅶ中所规定的技术文档清单。

也就是说，合格评定的过程，就是以CRA所要求的技术文档为评估对象，评估该产品是否符合附录Ⅰ中的核心网络安全要求。

接下来我们来看CRA附录Ⅶ中所列出的、作为“技术文档”所要求的成果文件。共需要准备9项成果文件，我将逐一说明。

  1. 产品一般规格说明文件，该文件应包含以下内容：

   - 产品的用途；

   - 与CRA核心网络安全要求相关的软件（SW）版本信息；

   - 若为硬件（HW）产品，应包含外部功能与标识、布局的照片或图示；  

   - 应提供给用户的安全相关产品信息及使用指引。以上内容在CRA附录Ⅱ中有明确说明

  2. 产品设计与开发所需的基本信息

  3. 应对漏洞时所使用的开源库信息。该开源信息应以软件物料清单（SW BOM）的形式进行文档化。

  4. 生产过程与市场中已销售产品的安全监测流程信息

  5. 产品的网络安全风险评估结果（TARA成果文件）

  6. 产品的网络安全支持周期及相关信息

  7. 为符合CRA附录Ⅰ核心网络安全要求而在产品中采用的安全解决方案信息

  8. 验证产品是否符合CRA附录Ⅰ核心网络安全要求的测试结果报告

  9. 在合格评定完成后，为产品加贴CE标志并编制欧盟合格声明。该声明的副本也应包含在技术文档中。

最后介绍一下与合格评定和CE标志相关的成果文件。

当针对合格评定对象产品的技术文档准备完成后，就会执行合格评定并记录其结果。当合格评定完成后，制造商应在生产的产品上加贴CE标志（CE Mark），并为该产品编制欧盟合格声明。此外，包含评定结果的产品技术文档应至少保存10年，并在监管机构要求时能够提供。

7. 只要获得CRA认证，法规应对工作就结束了吗？ 

---

CRA是一项要求在产品的整个生命周期内持续进行网络安全管理和维护的法规，所以，获得认证并不代表工作就此结束。

在认证之后，仍需持续履行多项义务，例如：安全更新与补丁管理、漏洞管理与报告、技术文档与风险评估的维护与更新、持续的法规遵循，以及在支持终止时对用户的通知等。也就是说，即使获得认证，也必须持续履行这些网络安全管理义务，直到产品服务终止为止。

另外，CRA认证不是以公司为单位，而是以产品为单位取得的。因此，每当新产品发布时，管理对象就会不断增加，导致工作负荷迅速上升。具体数量会因产品中所包含的下级控制器数量而有所不同，通常情况下，每一款产品在应对网络安全法规时所需的文档成果数量可达到约 1000 份左右。要实现合规，应确保这些数千份文档之间的一致性、准确性和完整性。

然而，若完全依靠人工逐项编制与管理，这将是一项极为艰难且耗时的工作。

除了要执行与产品相关的“网络安全工程工作”之外，还必须同时承担“网络安全法规应对工作”。因此，每当产品线扩大或推出新产品时，都不可避免地需要投入额外人力来应对这两类工作。

举个“网络安全工程工作”的例子，包括危险分析与威胁评估（TARA）、安全需求定义、安全应用的设计与开发、漏洞分析与渗透测试等。这些都是在产品开发过程中，将安全作为功能嵌入的技术性工作。

而“网络安全法规应对工作”则包括法规解读与要求提取、第三方认证应对、审计与评估准备等，属于证明企业遵守法律与法规的治理性工作。

确实如此。每当产品规模扩大时，不仅要持续推进“网络安全工程工作”，“网络安全法规合规应对工作”也必须同步推进，这一点值得我们特别注意。

8. 获得认证之后，如何高效地运营与管理网络安全工作？

---

这些复杂的网络安全相关工作都需要持续进行管理，那有没有更高效的运营与管理方法呢？

有的。关键在于从“以人为中心的工作体系”转变为“以系统为中心的工作体系”。

以实际案例来说，飞斯柯罗已经建立了系统为核心的工作体系，成功实现了欧洲网络安全认证的取得及认证后的持续应对。

接下来，我将更具体地介绍飞斯柯罗如何通过构建“持续循环型运营管理系统”与“跨业务自动联动系统”，实现高效的网络安全管理与法规应对。

1）构建覆盖产品全生命周期的持续循环型运营管理系统

从开发阶段、生产与上市阶段到实车运营阶段，飞斯柯罗已将网络安全及软件更新相关的所有合规工作实现了信息化与系统化。此外，系统还与OEM生产线、维修站以及联网车辆相互联动，在各个阶段实时收集车辆状态与安全事件数据，对事件原因进行分析，并将分析结果重新反馈至开发阶段，从而实现一个闭环循环的业务系统。

那么，通过这种“持续循环型运营管理系统”，取得了哪些成效呢？

共有两方面成效。首先，#1：实现了组织资产化。

系统会持续积累业务履历，使企业从“个人经验依赖”转变为“组织知识资产化”。这意味着实现了持续的内化与能力高度化。

其次，#2：实现了产品的持续质量提升。

当出现网络安全相关的现场问题时，系统能够实现快速响应与案例积累，从而使产品质量得到持续优化，并可在新车型开发时作为参考与改进依据。

将网络安全管理内化为组织资产、并通过系统化实现产品持续优化，这确实是很多企业长期追求的目标。

2）业务间自动联动系统的构建案例。

我们在系统设计前期，对不同业务之间的依赖关系进行了分析，并建立了自动联动机制。这样一来，当某个环节由人员（@人）进行修改时，系统（@系统）会自动将变更同步到所有相关任务中，确保数据与文档的一致性。举例来说，当需求项发生变化时，与之关联的功能测试项、安全测试项、法规应对文档等，都会在系统中自动更新。

同样，这个系统也带来了两方面成效：

第一，#1：提升生产力，显著节约人力与成本资源。将重复性工作和文档管理交由系统自动执行，大幅减少了人工投入。

第二，#2：确保法规应对的一致性。不再依赖于不同负责人的工作风格，系统能保证一致的质量标准与统一的法规应对流程。

确实如此。因为是专门针对网络安全法规打造的系统,所以效率性非常突出。