中国出海物联网商品面临新的监管规则，欧盟重要法案正式生效。

十二月十日，考虑了欧盟四年的《网络弹性法案》（Cyber Resilience Act，CRA）正式生效是欧盟联合会进一步向软硬件产品领域延伸GDPR等法律法规构建的合规框架的重要表现，对欧洲乃至世界网络安全领域影响很大。

从法案的覆盖面来看，CRA适用于任何具有数字组件的软硬件产品及其远程数据处理解决方案，但汽车、医疗器械、航空器材等一些具有特殊法律法规适应的特定领域除外。这意味着绝大多数具有联网等数字功能的电子产品，包括电视、冰箱、智能音响等。，都被纳入CRA的监管范围。根据其使用范围的描述，物联网产品是最典型的应用领域之一。

虽然该法案提出的主要义务应用于2027年12月11日，但物联网商品制造商需要提前采取行动，以满足CRA的要求。对于国内出口欧洲的物联网公司来说，根据CRA的需求促进合规工作是目前的必然选择。

实施CRA法规的时间表和需要重点关注的事实

对国内物联网产品制造商来说，合规工作还有36个月，应该做的工作包括：

• 强制性网络风险评估
• 实施技术安全规定
• 有关安全事件报告责任
• 免费安全更新超过5年或预期产品寿命。

如果违反CRA，将面临更高的惩罚。根据法案规定，未能遵守法案中提出的漏洞报告、网络事件报告或基本网络安全要求的企业，将面临高达1500万欧元或其全球营业额2.5%的行政罚款，以较高者为准；对于不遵守其他义务的情况，罚款上限为1000万欧元，或者全球营业额为2%。；如果企业向市场监管机构或相关机构提供误导或不正确的信息，罚款可达500万欧元，也可达全球营业额的1%。另外，在某些情况下，欧盟成员国政府有权要求制造商从欧盟市场召回或撤回不合规商品。

对于所有在欧盟市场布局物联网产品的厂商来说，他们非常重视这36个月的过渡期，推动商品遵循CRA规定。

业界需要高度关注的事实是，对CRA的需求可能会提高一些大厂商对供应链管理的要求和难度。在CRA咨询建议阶段，西门子等公司给出了强烈反馈，其中主要原因是要求制造商在未来将第三方零件集成到具有数字元素的产品中时，确保这些零件不会危及产品的安全性。

在这一条款下，商品的最终制造商承担着更高的责任，这意味着产品制造商在使用某个组件、第三方组件甚至软件插件时，需要检查和确定其安全性。对家电、消费电子、工业物联网等高度依赖产业链国际分工的领域，这一标准的落地极大地扩大了其责任范围。核心企业或品牌制造商不仅要深入了解CRA法案，还要建立高效的第三方供应商CRA管理制度和流程，以确保其供应链中的所有供应商产品都符合CRA标准。如果第三方原因导致CRA合规，制造商将承担第一责任，因此这是一项具有挑战性的工作。

物联网制造商需要做些什么？

物联网制造商需要开展一系列工作，以满足CRA对物联网产品的要求。根据制造商的合规指南，以下是制造商需要完成的一些强制性工作。

1、前提条件

根据CRA相关条款，企业在将产品投放到欧洲市场之前，必须：

对潜在风险进行预期用途、可预测条件和预期寿命分析；

安全集成各种组件:物联网制造商在从第三方购买组件时进行尽职调查，包括开源软件，以确保其不会危及产品的网络安全；

有漏洞政策和流程来处理内部或外部来源报告，包括协调披露政策；

准备技术文件；

选择并执行合格的评估程序；

发表欧盟一致性声明，粘贴CE标志；

包含产品、包装或附文件上的识别标记(如类型、批号、系列号)；

注明制造商的姓名、联系方式和网站，用于商品、包装或附文件；

提供至少5年的支持，如果产品不到5年，则提供生命周期支持；

以长者为准，确保在支持期内发布的安全更新在至少10年或剩余的支持期内保持可用。

2、强制文档

制造商必须满足下列强制性要求：

(1)技术文档:技术文档包括已识别的漏洞、第三方信息和风险评估更新等网络安全相关内容。技术文档必须保持产品上市10年后的整个支持期(以老年人为准)。

(2)欧盟合规声明:本文件证明产品符合基本要求。制造商可以提供一个简化版本的完整版本或一个完整版本的在线链接。两个版本必须在10年或产品支持期内保持可用性。

(3)用户信息和说明:这个关于安全、安装、操作和使用的指南必须清晰易懂，用户和权威部门可以轻松掌握。该文件必须在10年或支持期内在线或物理访问。

3、报告机制

这类报告要求加强网络安全措施，并能协调应对漏洞和事件，制造商必须：

(1)欧盟成员国的计算机安全事故响应小组必须在24小时内对其进行指定。（CSIRT）报告恶意行为者使用的任何商品漏洞。接着，制造商必须在72小时内提交一份整体跟进报告，并在减少措施出台后14天内提交一份详细的报告。这些漏洞报告除了特殊情况外，还将转发给产品上市成员国的其他安全事故响应团队和市场监管机构。与此同时，制造商还必须通知他们的客户事故。

(2)协同漏洞披露:制造商必须制定协调的漏洞披露政策，并为第三方提供通信地址，以报告产品中的漏洞。当制造商发现产品软件或硬件部件中的漏洞时，他们必须向负责该组件的一方报告漏洞。

产品符合性评定有关要求

在将商品投放市场之前，制造商必须评估产品的合规性，以确保它们符合安全要求。该法案对产品质量进行了分类，主要包括:

(1)未分类或默认等级：这个类别包含了大多数带有数字元素的商品，制造商可以自我评估是否符合安全要求。

第一类和第二类(2)（Classes I and II）：该级别被称为“重要”数字产品，需要第三方合格评估，可以应用统一的标准或统一的网络安全认证计划。第一类和第二类产品具有网络安全相关功能。如果被破坏，其功能会带来很大的不良影响风险。

(3)“关键”数字产品:该类别包括智能卡或类似设备、智能计量系统等用于高级安全目的的设备，被称为基本服务的关键依赖项。

数字产品合规评估完成后，制造商必须制定一份符合性的声明来补充技术文件，并在十年或支持期内(以老年人为准)保存这些记录。此外，数字产品必须有CE标志，以表明产品在进入市场前符合法案标准。这一要求可视为强制性安全标签计划。

同时，该法案还对买方和经销商提出了相关要求，包括尽职调查制造商的产品、及时联系制造商发现漏洞、告知欧洲政府重大风险、保留记录和售后责任等。

当前，国内物联网企业出海欧洲已经形成了较大的规模。作为一家海外企业，如果仍然想将物联网产品销往欧洲，就必须投入额外的合规成本，以满足CRA的相关合规要求，而未能完成CRA改造的公司将被避免。国内物联网公司可以参考欧盟相关企业的实践，必要时还会引入专业的第三方咨询机构，协助完善企业的网络安全框架，确保符合CRA要求。同时，政府相关部门、产业协会和产业链龙头企业也可以发挥作用，总结共性问题，共同研究合规解决方案，帮助企业特别是中小厂商降低合规成本，顺利实现产品出口欧洲。

本文来自微信微信官方账号 “物联网智库”（ID：作者：赵小飞，36氪经授权发布，iot101)。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com