2024年10月10日，欧洲议会通过了《网络安全法》（CRA），以加强联网设备的安全保护。该法案自2024年起正式生效，对在欧盟境内生产、进口或销售的电子产品的安全进行规定，确保产品上市时具有更少的漏洞，并要求制造商在整个产品生命周期内重视信息安全。

一、 欧盟网络弹性法案的核心要点：

适用范围广泛：CRA适用于所有具有数字元素并能直接或间接连接到设备或网络的产品，包括软件、硬件及其远程数据处理解决方案。但医疗设备、航空、汽车等已有特定行业法规的产品除外。双重核心义务：产品安全属性： 产品在设计、开发和生产阶段必须满足基本网络安全要求，如安全默认配置、漏洞防护、数据保护等。漏洞管理流程： 制造商必须在产品的“支持周期”内建立并遵守漏洞处理流程，包括及时发布安全更新、提供漏洞披露政策等。产品分类与合规路径：根据产品的关键程度，私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596CRA将产品分为两类：重要产品（Annex III）： 如操作系统、路由器、智能家居设备、防火墙等。此类产品需进行更严格的符合性评估。关键产品（Annex IV）： 如硬件安全模块、智能电表网关等。此类产品未来可能被要求通过欧盟网络安全认证计划进行认证。制造商关键责任：支持周期： 必须明确并公开产品的安全支持期限，通常不得少于5年。安全更新： 在支持期内免费提供安全更新，并默认启用自动更新功能（用户可关闭）。事件报告： 发现被主动利用的漏洞或严重影响产品安全的严重事件时，必须在24小时内向相关当局（CSIRT）和欧盟网络安全局（ENISA）报告。CE标志： 符合CRA要求的产品必须加贴CE标志，表明其符合欧盟法规。生效时间表：2026年6月起： 开始实施符合性评估机构的指定规则。2026年9月起： 制造商的安全事件和漏洞报告义务生效。2027年12月起： CRA全面生效，此后在欧盟市场上市的所有适用产品必须完全合规。

二、对于企业的影响与具体行动计划。

第三点是全球网络安全监管的趋势，

CRA的出台反映了全球对网络安全性加强监管的趋势。它与澳大利亚于2025年发布的智能设备网络安全规则等法规紧密相关，并强调了对于产品全生命周期内安全性的要求。与此同时，各国在传统产品的安全标准和能效指标等领域也正不断进行更新调整。企业需要以全局眼光审视自身的合规策略，将网络安全、功能安全以及符合能效的标准纳入到产品设计、生产和质量管理体系中去。