摘要：在全球数字化高速推进的当下，网络安全已成为影响社会、经济及个人隐私的关键因素。近期，欧盟《网络弹性法案》（Cyber Resilience Act, CRA）正式生效。作为欧盟首部针对含数字元素产品的强制性网络安全立法，它标志着欧盟在抵御网络威胁、强化网络安全

在全球数字化高速推进的当下，网络安全已成为影响社会、经济及个人隐私的关键因素。近期，欧盟《网络弹性法案》（Cyber Resilience Act, CRA）正式生效。作为欧盟首部针对含数字元素产品的强制性网络安全立法，它标志着欧盟在抵御网络威胁、强化网络安全方面迈出重要一步。

CRA 体系完备，共 8 章 71 条，覆盖了从日常使用的移动设备、笔记本电脑，到网络运行核心的交换机、路由器等各类具备数字元素的软硬件产品。该法案贯穿产品从设计、开发到销售的整个生命周期，明确了制造商、进口商、经销商等主体的责任义务，强调建立有效监管机制，避免成员国法规冲突。不过，医疗设备、民用航空器等已受其他法规监管的产品被排除在外。CRA 适用于整个欧盟供应链，符合要求的产品将获 “CE” 标志，进口商或经销商若以自有品牌销售产品，将被视作制造商担责。

CRA 对产品自身安全与漏洞处理提出严格要求。在产品设计、开发与生产环节，需遵循安全准则，通过风险评估确保防护能力。产品要有安全默认配置与及时更新机制，保障用户数据的机密性、完整性和隐私安全，采取访问控制、加密等措施防止数据被非法访问修改。产品还应具备抗攻击弹性，能有效应对攻击并维持基本功能，提供数据删除与迁移机制以契合隐私规范。制造商发现漏洞后，要及时识别、记录并修复，尤其对已知漏洞提供独立于功能更新的安全补丁。同时，遵循透明的漏洞披露政策，必要时延迟披露，产品最好有自动修复机制。

在市场主体责任方面，制造商在产品上市前要确保符合安全要求，做好合格评定并将结果纳入技术文件，对第三方组件尽职调查。制定并执行漏洞披露等政策，持续监控产品合规性，发现问题及时纠正，提供详细用户信息与说明。一旦发生安全事件，24 小时内向计算机安全事件响应小组（CSIRT）和欧盟网络安全局（ENISA）初步报告，72 小时内发出完整通知，鼓励自愿通报漏洞或威胁，同时及时告知用户并提供应对措施。进口商只能引入符合安全要求、有合格评定与 “CE” 标志及技术文件的产品，经销商需确保所售产品有 “CE” 标志。

《网络弹性法案》的生效，为欧盟数字产品网络安全监管绘就新蓝图，从源头减少安全风险，推动欧盟市场网络安全防护升级。它明确企业安全责任，促使企业将安全融入产品开发早期，实现安全与创新并行，保障产品安全的同时助力技术发展。

在网络安全风险丛生的当下，望安科技勇立潮头，为企业与机构筑牢坚实的网络安全防线。团队成员皆为资深网络安全专家，熟谙国际 CC、EUCC 认证体系与国内标准，能依据不同企业需求，定制适配的认证方案，助力企业明确网络安全建设方向。

展望未来，望安科技将坚守网络安全创新前沿，加大研发投入，探索优化技术与服务。以助力客户实现 “一次认证，全球网络安全无忧” 为目标，持续赋能中国企业，使其在全球数字化竞争中，凭强大防护实力崭露头角，赢得市场份额与行业话语权，推动中国网络安全产业迈向新高度，为构建安全的全球网络空间贡献力量。

来源：望安科技