9 月 11 日起，欧盟 CRA《网络弹性法案》漏洞与安全事件报告义务将强制生效。企业如何合规应对？哪些产品需要合规？信测标准已推出覆盖 CRA 的预评估方案，助力企业提前破解合规难题。

CRA 即欧盟《网络弹性法案》（Cyber Resilience Act, CRA），该法案已于2024年12月正式生效，进入合规准备阶段。凡在欧盟上市、带有数字元件、可联网、可远程更新的产品，均纳入监管范围。CRA重要强制生效时间节点如下：

· 2024 年 12 月 CRA 法案正式生效，合规准备窗口期开启

· 2026 年 9 月 11 日（红线）漏洞与安全事件强制上报义务生效，24 小时预警、72 小时完整通知、14 天最终报告。时间倒计时开始，时间非常紧迫，信测标准已推出 CRA 预评估方案。

· 2027 年 12 月 11 日（大限）法规全面强制执行，RED-DA 废除，所有产品必须完成 CRA 合规。信测标准已推出 CRA 预评估方案。

（一）高危误区：CRA 尚未全面强制，先不用管。该误区将带来严重后果：

1. 启动太晚，不合规的内容需要研发体系重构，成本翻倍

2. 漏洞整改来不及，错过上市窗口

3. 直接触发强制报告，被欧盟重点监管

（二）企业合规落地三阶段：

1. 第一阶段：2026 年 9 月 11 日前（倒计时紧迫）

建立漏洞管理体系（同步覆盖漏洞与事件报告义务）

输出：漏洞处理与披露政策、SBOM 清单、上报流程等体系文件

2. 第二阶段：2027 年 12 月前

建立产品安全开发生命周期（SDLC）体系

输出：产品风险评估、安全设计、安全开发、安全验证等 SDLC 成果

3. 第三阶段：2027 年 12 月前

完成产品技术合规

输出：产品技术合规评估报告

（一）同时满足这2个核心条件的，基本都要做CRA认证：

1. 带软件/固件/芯片/远程控制/智能功能的，并且能处理数据、执行指令的

2. 可直接/间接联网（例如可作为大系统的一部分的，而大系统在CRA范围内的）、可更新（物理连接、蓝牙、Wi-Fi、逻辑接口都算）的

（二）CRA把产品分为普通类、重要类（分为1类、2类）、关键类产品：

1. 普通类产品：

2. 重要及关键类产品：

3. 可豁免的产品：

一站式落地，助力制造商轻松应对合规难题！

1. 信测协助漏洞管理体系预评估（EN 40000-1-3）【时间紧迫，优先做，信测提供所有模板轻松应对】

建立漏洞接收、验证、修复、披露全流程，同时结合漏洞和事件报告义务，满足 2026 年强制报告要求。

2. 信测协助产品安全生命周期（SDLC）体系预评估（EN 40000-1-2）

覆盖规划→设计→实施→停用全流程，输出合规文档模板，帮你搭建SDLC体系。

3. 信测协助产品安全技术预评估（EN 40000-1-4 + 纵向标准）

按产品分级做技术差距分析，给出整改方案，确保技术合规。

4. 信测助力合规落地全支撑

产品分类判定、法规咨询、SBOM 管理、漏洞报告协助、VOC 报告出具。