联系电话:

021-68580866

免费试用

产业资安发展背景 

随着连网产品逐渐普及于工业 (OT/ICS)、消费性设备及关键基础设施,攻击事件(如供应链攻击、边境硬件入侵、软件漏洞利用)层出不穷。过去多依赖 IT 领域安全标准(如 ISO 27001、NIST SP 800-53),但难以兼顾产品生命周期管理或供应链软硬件组成的复杂性。欧盟于 2022 年提出《Cyber Resilience Act(CRA)》法规草案,致力于建立针对整个产品生命周期的网络韧性框架,引领全球连网产品合规浪潮,并计划于 2025 年生效。 

CRA 强调设计、开发、生产、交付以及售后整个生命周期的安全要求,对软件、硬件及其组成部件之供应链皆予以规范,突破传统仅针对系统营运环境的资安标准局限。法规将所有连网产品划分为等级,并要求贯彻“安全预设(Secure by Default)”、“安全设计(Security by Design)”等核心理念。 

CRA 与其他标准的对应与补充 

CRA 并未取代 ISO 27001、IEC 62443、ISO/SAE 21434 等现行标准,而是提供更明确的联网产品导向方案。企业应将 CRA 和现有资安管理规范(如产品 SSDLC、事件应变流程、供应链安全审查)整合,提升组织在全球市场的合规韧性与竞争力。 

难点和挑战

  • 产品软件供应链及 SBOM 的管理复杂性

  • 产品软件漏洞持续监测

  • 持续更新及快速漏洞回报所需的组织协作与技术支持

  • 多国标准整合与基线要求理解困难

  • 关键产品须通过第三方/外部认证,导致时程与成本压力

解决方案

  • 导入现代化安全开发流程(SSDLC),涵盖威胁建模、静态/动态分析(SAST/DAST)、自动化测试。

  • 部署软件组成分析(SCA)工具,自动产生及维护 SBOM,追踪开源组件漏洞 (CVE)。

  • 定期举办资安教育训练,强化跨部门协作之事件回报与应变处理。

  • 评估布署主流资安工具(如 QAC、Klocwork、ONEKEY、FOSSID 、HydraVision),助攻 CRA 认证。

CRA 架构与适用范围

  • 适用范围

  • 产品分类与风险等级

  • 生命周期管理要求

  • 基本文文件与信息揭露义务

  • 合规评鉴与市场监管

  • 适用范围

    CRA 规范适用于任何于欧盟市场销售之具备数字组件(Hardware/Software)的产品及其组件(如 IoT 装置、通讯模块、车载系统等)。

  • 产品分类与风险等级

    依产品本身特性、应用情境(如消费/工业/关键基础设施)采用差异化要求。高风险产品(Class I/II: 关键基础设施、Critical、身份验证设备、远程管理模块等)须执行更严谨的合规程序(如第三方认证)。

  • 生命周期管理要求

    从设计(Design)、开发(Development)、生产(Production)、交付(Delivery)、营运(Operation)、维护(Maintenance)到淘汰,均需有明确安全保护及事故应变预案。特别要求: 


    软件和韧体的持续性安全更新机制 

    完整的软件物料列表(SBOM, Software Bill of Materials) 

    事件回报(Incident Reporting)于发现资安事件后 24 小时通报欧盟主管机构及受影响用户 

    供应链资安风险管理 

  • 基本文文件与信息揭露义务

    交付说明书须揭露产品资安能力、限定用途、已知限制、寿命终止相关信息及安全更新政策。 

  • 合规评鉴与市场监管

    针对 Class I/II(高风险级)、Critical关键产品,强制第三方稽核认证。 

    一般产品可自我证明(self-assessment),但需随时接受抽查。 

    未符合 CRA 规范,在欧盟市场将全面禁售与下架,违者罚款最高可达全球营业额 2.5%。 

相关产品

RELATED RESOURCES

下载申请

是否需要技术支持

验证码

温馨提示:

我们将通过电子邮件向您发送下载地址,请核对您填写的工作邮箱是否正确。

提 交