欧盟网络弹性法案(CRA)数字元素产品类别划分解析
欧盟《网络弹性法案》(Cyber Resilience Act,简称 CRA)于 2024 年 10 月正式通过,2024 年 12 月 10 日生效,核心目标是为欧盟市场中具有数字元素的产品建立统一网络安全合规框架,防范网络风险、保护消费者与市场安全。该法案以产品网络安全风险等级为核心,将适用产品划分为默认类、重要类(细分 1 类 / 2 类)、关键类三级,同时明确多类不适用产品,形成 “分级监管、重点管控、例外豁免” 的精细化体系,为数字产品全生命周期安全划定清晰边界。以下从适用产品分类、不适用产品分类两大维度,结合判定标准、产品清单与监管差异展开详细解析。
CRA 适用的 “具有数字元素的产品”,指在预期用途或合理可预见使用中,包含软件、固件、嵌入式系统等数字功能,且能通过有线 / 无线、直接 / 间接方式与设备、网络或数据产生逻辑 / 物理连接的产品,涵盖硬件、软件及集成组件,无论成品还是单独上市的零部件均纳入范畴。判定核心为 “数字功能 + 数据连接 + 欧盟市场流通”,三者同时满足即进入监管范围,无额外门槛限制。
CRA 基于产品网络安全风险影响范围、破坏后果严重程度及核心功能属性,将适用产品划分为默认类、重要类(Class I/Class II)、关键类,三类产品合规要求、评估流程、责任强度逐级提升,实现 “风险与监管匹配”。
默认类产品是未被列入重要类、关键类清单的普通数字产品,数量最广、风险**、合规门槛**,是 CRA 监管的基础盘。
核心判定标准:产品核心功能不涉及网络安全基础设施、敏感数据处理或关键系统控制,安全漏洞仅会造成局部、轻微影响,无大规模安全事件或系统性风险隐患。
典型产品清单:普通消费电子(如非智能家电、基础功能手机)、办公外设(如普通打印机、扫描仪)、非联网传感器、基础办公软件(如普通文档编辑器)、小型家用路由器(非企业级)、普通充电设备等。
监管要求:采用自我声明 + 内部控制模式,制造商无需第三方认证,仅需建立内部合规流程,确保产品符合 CRA 基础网络安全要求(如无已知高危漏洞、提供基础安全更新),自行留存合规文件并承担责任,合规成本**。
重要类产品是核心功能涉及网络安全防护、数据传输、系统管理的产品,风险等级显著高于默认类,细分 Class I(中风险)与 Class II(高风险),差异化设定合规要求。其判定遵循 “核心功能导向” 原则 —— 产品集成于大型系统时,仅核心功能部分按对应类别监管,不扩大至整个系统。
核心判定标准:产品直接承担基础安全防护、身份认证或数据传输功能,漏洞可能导致用户数据泄露、设备受控,但不会引发基础设施瘫痪或大规模安全危机。
典型产品清单:身份管理系统、独立 / 嵌入式浏览器、密码管理器、反病毒软件、VPN 客户端 / 服务器、智能家居安全摄像头、互联玩具(带社交 / 定位功能)、智能门锁、非医疗健康穿戴设备、普通交换机 / 调制解调器等。
监管要求:混合评估模式。若产品采用欧盟协调标准,可自我评估合规;无协调标准时,需经欧盟公告机构第三方评估,合规强度高于默认类。
核心判定标准:产品为网络基础设施、系统运行的核心支撑组件,漏洞可导致网络中断、系统崩溃或大规模网络攻击,影响范围广、后果严重。
典型产品清单:操作系统、防火墙、入侵检测 / 防御系统(IDS/IPS)、虚拟机管理程序、容器运行时、防篡改微处理器、企业级网络设备、安全信息与事件管理系统(SIEM)等。
监管要求:强制第三方评估。必须由欧盟公告机构完成 EU 型式检验或网络安全认证,提供全生命周期安全保障方案,合规流程严格、成本较高。
关键类产品是承担关键基础设施安全、敏感数据加密或物理防护功能的硬件设备,风险等级**,漏洞可能引发金融安全、能源供应、公共服务等领域系统性风险,属于 CRA **优先级监管对象WTO/FTA咨询网。
核心判定标准:产品集成安全硬件模块,核心功能涉及支付安全、能源基础设施、身份认证硬件防护,安全等级需达到 AVA_VAN.4 及以上。
典型产品清单:集成安全硬件包的支付终端、智能电表网关、符合高安全级别的智能卡、TPM 安全模块、金融加密设备、能源控制系统核心硬件等。
监管要求:**等级强制认证。需由欧盟公告机构出具网络安全认证,保证等级不低于 “实质性(substantial)”,制造商需承担全生命周期安全责任,包括长期安全更新、漏洞应急响应,违规处罚力度**。
为避免监管重叠、适配行业特性,CRA 明确多类产品完全不适用或部分豁免,核心逻辑为 “已有专项法规覆盖、非商业用途、纯离线无风险、国防安全专属”。
已受欧盟专项法规全面监管,且专项法规网络安全保护水平不低于 CRA 的产品,完全豁免 CRA 监管,避免重复合规。
医疗器械类:受《医疗器械条例》(EU 2017/745)、《体外诊断医疗器械条例》(EU 2017/746)监管的产品,如智能医疗设备、诊断仪器等。
交通设备类:受《民用航空条例》(EU 2018/1139)、《车辆通用安全条例》(EU 2019/2144)、海事设备指令(2014/90/EU)监管的产品,如车载智能系统、航空电子设备、船舶控制系统等。
其他专项产品:如受欧盟金融监管法规覆盖的专属金融设备、电信基础设施专项监管的核心设备等。
非市场流通产品:非商业活动中开发 / 提供的产品(如个人自制非售卖设备、内部非商用系统),未进入欧盟市场流通,不适用 CRA。
免费开源软件(FOSS):非商业用途的免费开源软件完全豁免;仅商业活动中提供的开源软件(如付费开源服务、预装开源软件的商业设备)需合规。
纯离线数字产品:无任何数据连接功能、无软件更新能力的纯离线产品(如基础电子计算器、无联网功能的固定程序设备),无网络安全风险,豁免监管。
替换用备件:用于替换现有产品中完全相同规格组件的备件,且制造标准与原组件一致,不适用 CRA(避免重复监管、保障配件兼容性)。
专门为国家安全、国防目的开发,或用于处理欧盟机密信息的产品(如军用通信设备、涉密信息系统),完全豁免 CRA,由国防与安全专项法规监管。
软件即服务(SaaS)原则上不适用CRA,除非作为数字产品整体远程数据处理解决方案的一部分(如智能设备配套的专属 SaaS 管理平台),才纳入监管。
欧盟CRA网络弹性法案|产品豁免判定清单(满足任意一条即不适用CRA) 序号 豁免大类 判定细则 典型产品举例 1 已有欧盟专项法规管控(安全要求≥CRA) 列入EU专项立法,专属安全合规体系 ①医疗器械:有源智能医疗设备、体外诊断仪(MDR/IVDR)
②车载电控、整车电子件(UN R155、车辆安全法规)
③航空机载电子、船舶海事电控(民航/海事EU法规)
④受欧盟支付专项法案单独强监管的金融机具2 军用/国家安全涉密产品 专为国防、情报、国家保密用途研发,不面向民用市场化销售 军用加密通信、涉密专用工控、军方定制嵌入式软硬件 3 纯非商用、不投放欧盟市场产品 自制自用、企业内部自研不外售、个人DIY产品,无商业化上市行为 工厂内部自用非标工控样机、个人自制智能装置 4 纯免费非商用开源软件 无付费售卖、无预装在收费硬件、无商业化运维服务的开源程序 免费社区开源工具、无商业发行版开源代码 5 全离线无任何联网能力产品 硬件无有线/无线通信接口、无法远程升级固件、不能接入任何网络 简易电子计算器、固定固件不可联网小家电、无蓝牙/WiFi单机设备 6 原厂同规格替换备件 仅用于维修替换原有整机原厂同型号零部件,不单独作为新品上市销售 原厂同款主板、原装替换芯片 7 通用SaaS云端服务(不含设备绑定专属配套软件) 独立云端订阅软件、通用云盘、在线办公SaaS(非硬件配套嵌入式程序) 通用在线文档软件、独立云服务器租赁服务 ⚠️ 豁免例外:绑定智能硬件专属配套SaaS、设备内置远程管控云端模块,不豁免,纳入CRA分级监管
CRA 的分级分类体系,本质是风险导向的精准监管工具:对低风险默认类产品简化流程、降低中小企业合规成本;对中高风险重要类产品强化管控、防范常见网络威胁;对极高风险关键类产品实施**标准认证、守住基础设施安全底线;同时通过豁免条款避免监管冗余、兼顾行业特性。
对企业而言,精准判定产品类别是合规**步:出口欧盟的数字产品需先对照清单明确类别,再匹配对应评估流程、完善安全设计、留存合规文件,避免因分类错误导致合规成本过高或违规风险;对欧盟市场而言,该体系统一了数字产品安全标准,消除成员国监管差异,保障欧盟单一市场网络安全,提升消费者信任度。
综上,欧盟 CRA 的数字元素产品分类体系,逻辑清晰、层级分明、兼顾安全与效率,既是欧盟网络安全治理的核心举措,也为全球数字产品监管提供了重要参考。随着 2027 年 12 月 CRA 全面生效,该分类体系将深度影响全球数字产品供应链,相关企业需提前布局、精准适配,确保合规运营。
Copyright © 2026 All Rights Reserved. 深圳中标国际标准咨询有限公司 粤ICP备17064591号
