欧盟网络复原力法案》：它是什么以及如何准备

Digi International OEM 产品经理 Miguel Perez
2025 年 9 月 8 日

作为一项全面的网络安全新法规，《网络安全法》适用于在欧盟销售或分销的几乎所有联网设备，以及任何能够直接或间接连接到其他设备或网络的设备。

CRA 于 2024 年底正式通过，执行期限正在迅速临近。在这篇博文中，我们将介绍制造商、OEM（原始设备制造商）和分销商需要了解的有关 CRA 的信息，以及如何开始为合规奠定基础。

• 什么是《网络复原力法案》（CRA）？
• 谁会受到《网络复原力法案》的影响？
• CRA 的主要要求是什么？
• 网络复原力法案》何时生效？
• Digi 如何支持 CRA 合规
• 下一步：为欧盟网络复原力法案做好准备

什么是《网络复原力法案》（CRA）？

欧盟网络复原力法案》是一个旨在加强整个数字产品网络安全的监管框架。与早期侧重于数据保护的法规不同，《网络复原力法》针对的是产品本身的安全性。它要求从设计阶段就建立保护措施，并通过上市后的支持加以维护。

什么是网络复原力法案？网络复原力法案》CRA 立法适用于几乎所有具有数字元素的产品。要在欧盟销售或分销，所涵盖的产品必须符合《网络恢复法》的规定，并带有 CE 标识，以证明产品符合规定。

CRA 的核心是建立网络安全实践基准，保护消费者和企业免受不断上升的IoT 安全风险的影响，从而使消费者和企业受益。此外，它还支持在欧洲市场内建立一个更加透明的数字生态系统。

谁会受到《网络复原力法案》的影响？

CRA 的适用范围非常广泛，影响到为欧盟市场开发、制造、进口或分销带有数字元素产品的任何组织。它不仅限于总部设在欧洲的公司。任何向欧盟市场投放合格产品的企业都必须遵守，无论其生产设施位于何处。

该法规建立了共同责任模式，明确了利益相关方在整个产品生命周期中的义务。这对数字供应链具有深远影响。

受 CRA 影响的行业和角色

虽然制造商承担着最广泛的义务，但《加拿大税务条例》也影响着众多公司，其中包括

• 提供数字元件的硬件供应商
• 应用程序具有连接功能的软件供应商
• 系统集成商将第三方组件组合成完整的解决方案
• 相关产品的进口商或分销商

要满足 CRA 的要求，采购经理、产品经理、安全专业人员和技术决策者必须通力合作，确保合规。

受 CRA 影响的产品

CRA 产品几乎涵盖了所有细分市场，包括

• 工业控制器、网关和传感器网络
• 能源、交通和公共服务的互联基础设施
• 零售点销售系统（POS）、交互式信息亭和远程学习设备

简而言之，如果产品包含数字元素并直接或间接与其他设备或网络连接，则很可能属于《计算机安全法》的管辖范围，除非其他网络安全法规特别豁免。

CRA 的主要要求是什么？

根据 CRA 指导方针，制造商和供应商应采取持续负责的态度。他们必须首先遵循 "安全设计 "的最佳实践，然后对新出现的漏洞保持警惕。

例如，这些要求远远超出了传统的销售点认证，规定了在整个产品生命周期内让最终用户和监管机构充分了解情况的持续义务。

安全设计原则

CRA 推动制造商从开发的最初阶段就考虑网络安全问题。设备必须经过正式的网络安全风险评估，并纳入适当的保护措施。其中包括

• 确保产品在出厂时不存在任何已知的可利用漏洞
• 使用开箱即用的安全默认配置
• 实施认证系统，防止未经授权的访问
• 通过最先进的加密机制保护数据机密性
• 通过减少不必要的接口和暴露，最大限度地减少攻击面

对于许多制造商来说，要遵守 CRA 准则，就必须从根本上改变设计工作流程。该法规不仅影响设备架构，还影响固件开发和产品文档。

持续的风险监测和更新

安全不是一次性义务。根据《计算机安全条例》，制造商必须在整个产品支持期内监控新的威胁。一旦发现安全问题，必须立即提供安全更新。

这些更新必须是免费的，并便于用户应用。它们还必须以安全的方式分发，以确保及时修复或减少漏洞，并在适用于安全更新的情况下自动修复或减少漏洞。

这些要求要求提供Digi ConnectCore^{ConnectCore®}云服务等服务，以确保支持传输层安全（TLS）、基于证书的身份验证和加密的安全边缘到云通信。利用我们云服务中的安全软件更新功能，可以安全可靠地远程无线（OTA）部署补丁和修复程序，从而解决漏洞问题。此外，利用模板功能，OEM 设备群可以按照既定配置进行自动扫描、更新和维护。通过利用模板，OEM 客户可以在需要更新配置时节省时间、减少错误、最大限度地减少工作量和管理规模，并确保部署在现场的所有设备的一致性和标准化。

了解如何 Digi ConnectCore 云服务如何简化大型IoT 设备群的安全合规性。

强制性事件报告

如果漏洞被主动利用或发生重大安全事故，《计算机安全条例》要求制造商同时通知欧盟网络安全局 (ENISA)和指定的计算机安全事故响应小组 (CSIRT)。根据第 14 条"制造商的报告义务 "的规定，必须在 24 小时内提交初始警报，并在 72 小时、14 天和 30 天内采取后续行动。

这些严格的期限要求快速检测和响应。不遵守规定可能导致严重后果，包括高达 1500 万欧元或全球年营业额 2.5% 的罚款。

产品文档和合规性

为证明符合 CRA 要求，制造商必须保存相关文件，概述其产品至少在支持期内如何满足监管要求。其中包括欧盟符合性声明副本、技术文档、符合性评估和软件物料清单 (SBOM)。

这种级别的文档记录是 CRA 准备工作中资源密集度较高的一个方面，尤其是对于管理大型联网设备的公司而言。要保持各产品线的最新记录、跟踪固件变更并确保安全措施的可追溯性，就需要强大的内部流程和Digi ConnectCore 安全服务等可帮助实现合规文档自动化的服务。

网络复原力法案》何时生效？

尽管人们普遍误认为 CRA 是一个遥远的问题，但关键义务正在迅速逼近。

重要的是，《反垄断法》不仅适用于新设计，也适用于产品更新。2027 年 12 月后对现有产品进行的任何重大更新都可能触发合规要求。

为此，我们必须在第 69 条"过渡性规定 "中增加一个例外。第 14 条"制造商的报告义务 "中规定的义务将适用于在 2027 年 12 月之前投放市场的属于本条例范围内的所有产品。

鉴于所涉及的技术和组织变革的深度，制造商、原始设备制造商和系统集成商现在就应开始准备。

观看我们的网络研讨会，了解更多有关 如何遵守 CRA 合规截止日期.

Digi 如何支持 CRA 合规

要满足《资本协定》的全面要求，需要 嵌入式安全的整体方法.Digi 随时准备提供帮助，集成了 Digi ConnectCore 嵌入式解决方案 支持安全产品开发、远程生命周期管理、漏洞报告和文档编制。

Digi 不仅仅是一家解决方案提供商，还致力于成为欧盟市场安全产品创新的长期合作伙伴。从 CRA 最早的草案开始，我们就一直在对其进行跟踪，并致力于帮助我们的客户满足不断变化的合规需求。

我们与每位客户合作，根据他们的具体目标制定量身定制的服务包。

通过 Digi TrustFence 实现内置安全性

Digi TrustFence^® 是集成到 Digi 硬件平台中的基础安全框架。它使制造商能够应用安全设计原则，帮助从第一天起就满足 CRA 的要求。TrustFence 包括安全启动、身份管理、加密存储和安全固件更新等功能，为终身恢复能力奠定了坚实的基础。

这些内置的保护措施降低了因在开发过程中发现漏洞而进行代价高昂的重新设计的风险。此外，它们还支持符合 CRA 要求，例如安全默认配置、数据保密和减少攻击面。

利用Digi ConnectCore 安全服务和Digi ConnectCore 云服务实现生命周期安全

Digi ConnectCore 安全服务通过在设备的整个生命周期内监控设备的漏洞，帮助满足CRA的上市后要求。借助Digi ConnectCore 云服务，OEM 可以安全地提供固件更新，并保持整个产品群的可见性。我们的安全服务可自动报告常见漏洞和暴露（CVE），我们的云服务可自动部署补丁，这些功能支持持续合规和快速漏洞响应。

简化文档和合规准备工作

CRA 要求提供全面的技术文档、维护良好的记录以及对已实施的漏洞处理流程的描述。Digi ConnectCore 安全服务通过自动扫描定制的 SBOM 来分流 CVE，消除误报，使 OEM 能够专注于最关键的 CVE，从而支持这些要求。此外，OEM 厂商还可以利用我们的元数字安全层，其中包括 Digi Embedded Yocto (DEY)、电路板支持包 (BSP)、Linux 内核和引导加载器的预集成安全补丁集合。这些数据简化了技术文档的创建，有助于支持 CRA 报告义务，包括 ENISA 和 CSIRT 通知和符合性评估。

通过集中收集与安全相关的数据，Digi 减少了工程和合规团队的文档工作量，从而更容易在嵌入式部署中保持审计就绪状态。

下一步：为欧盟网络复原力法案做好准备

CRA 的时间正在流逝。虽然离全面实施还有几个月的时间，但您应立即开始准备，以保护您进入欧盟市场的权利。采取这些积极步骤，确保过渡更加顺利：

• 评估当前和即将推出的产品的网络安全状况
• 审查您的开发、监控和文档编制实践
• 评估供应商和合作伙伴与 CRA 一致的能力
• 创建或更新漏洞和事件响应计划
• 制定产品生命周期的合规路线图

不要等到最后一刻。现在就开始行动，将 CRA 合规转化为竞争优势。

观看我们深入探讨 网络安全要求和准备 CRA.

网络复原力法常见问题