




欧盟《网络弹性法案》(CRA)报告义务,企业出海必知!
在全球化数字贸易蓬勃发展的当下,欧盟作为重要的海外市场,其网络安全监管要求一直处于领先地位。欧盟《网络弹性法案》(CRA)作为首个针对具有数字元素产品(PwDE)的横向法律框架,为产品出海欧盟划定了清晰的网络安全合规红线。钛和集团将以实验室技术专家的视角,通过系列推文全面解析这一法规,助力企业将技术标准转化为产品合规落地方案。今天,我们聚焦 CRA 第 14 条规定的报告义务。
报告义务倒计时,合规挑战迫在眉睫
在明确 PwDE 管控范围后,制造商面临的首要合规挑战并非 CE 标志,而是 2026 年 9 月 11 日率先强制执行的报告义务。依据 CRA 第 14 条,一旦产品出现被利用的漏洞或严重安全事件,企业必须严格按时限完成通报,否则将面临顶格处罚。
谁需要履行报告义务?
制造商:所有将 PwDE 投放欧盟市场的自然人或法人均负有主体通报责任。
开源软件托管人:当涉及其提供开发的网络与信息系统受损时,也需履行相应的通报义务。
进口商与分销商:虽然通报主责在制造商,但若其发现漏洞,必须无延误地通知制造商。
报告义务的内容是什么?
制造商必须通报以下两类核心事件:
被积极利用的漏洞:指已有可靠证据表明恶意行为者在未经许可的情况下利用了产品缺陷。
严重安全事件:指对产品的可用性、真实性、完整性或机密性产生负面影响的事件,或导致恶意代码被植入产品或用户系统的事件。
需要向谁报告?
通报采取“双向同步”机制:
单一报告平台:制造商必须通过由 ENISA(欧盟网络安全局)建立和维护的单一报告平台提交报告。目前该平台还未上线,钛和信息安全实验室正紧密跟进。
同步接收方:报告将同时提交至制造商在欧盟内主要机构所在地的 CSIRT(计算机安全事件响应小组)以及 ENISA。
用户知情权:制造商在获悉事件后,还必须及时通知受影响的用户,并在必要时提供纠正措施建议。
报告的具体时限要求是什么?
CRA 设定了严苛的“三阶段”递进通报机制:
24 小时内(早期预警):在获悉漏洞或事件后的 24 小时内提交,需说明事件性质及受影响的成员国范围。
72 小时内(详细通报):提供更详细的初步评估、漏洞严重性描述以及已采取的缓解措施。
最终报告:对于漏洞,需在提供补丁或纠正措施后 14 天内提交;对于事件,需在提交 72 小时通知后的 1 个月内提交。
不合规的处罚是什么?
违反报告义务将面临 CRA 框架下最高等级的处罚:
天价罚款:最高可达 1,500 万欧元或该企业上一财政年度全球年营业额的 2.5%(取两者中较高者)。
豁免情形:微型和小型企业如果仅是错过 24 小时的早期预警时限,可豁免此类行政罚款。
微型企业:≤10 人,营收/资产总额≤200 万欧元;
小型企业:≤50 人,营收/资产总额≤1000 万欧元;
中型企业:≤250 人,营收≤5000 万欧元或资产总额≤4300 万欧元。
警惕 24 小时通报时限
CRA 第 14 条规定的报告义务是制造商建立可持续化网络安全治理体系的关键起点。由于该项义务在 2026 年 9 月 11 日率先执行且具有追溯性,制造商应优先建立事件响应(IR)与漏洞生命周期管理流程。通过尽早完善 SBOM(软件物料清单)以实现供应链组件的透明化追溯,企业将能更从容地应对监管要求的 24 小时通报时限,从而确保在欧盟市场的合规稳健运行。
针对 CRA 第 14 条报告义务,钛和信息安全实验室已具备成熟的合规服务方案和实施流程,可为制造商提供配套的流程梳理、模板支撑及合规辅导服务。欢迎有需求的企业通过邮箱或电话联系咨询,让我们携手应对挑战,开启欧盟市场合规新征程!
联系人
联系人:曾工
电话:17770631645(微信同)
邮箱:zengjian@titcgroup.com
实验室
EMC电磁兼容实验室、RF射频实验室、OTA天线实验室、蓝牙BQB测试实验室、SAR/HAC实验室、SRD实验室、安规与环境可靠性实验室、电力电能实验室、汽车电子实验室、化学实验室、星闪测试实验室
认证能力
中国范围:CCC、CQC、SRRC、CTA、OFCA、NCC、BSMI
全球范围:CB、BQB、GCF、PTCRB、UN38.3
日韩:TELEC、JATE、PSE、KC、VCCI
东南亚地区:IMDA、PSB、SIRIM、NBTC、TISI、DJID、NTC、BIS、WPC
欧洲地区:CE、UKCA、PSTI
澳洲地区:RCM
北美地区:FCC、ISED、ETL、UL
南美地区:NOM、IRAM、CRC、PUC、INMETRO、ANATEL、Subtel、MTC、ENACOM
非洲地区:NCC、ICASA、NTRA
中东地区:SASO、TDRA
独联体地区:EAC、GOST-R、FAC等
业务范围
无线通信终端,智能穿戴,智能家居,IT,AV类产品,新能源,常规电池及动力电池,储能,光伏产品,汽车电子等
优势
1.中国认监委指定的CCC和CQC测试实验室覆盖08、09、16类产品;
2.蓝牙SIG指定的BQTF实验室;
3.深圳市科创委指定的刷券实验室,可以接收创新券:
4.印尼DJID指定的中国区测试实验室;
5.巴西(INMETRO)认证机构授权实验室;
6. 日本VCCI资质
7. 日本TELEC,JATE测试实验室
8.美国消费品安全委员会认可实验室(CPSC);
9.全球第二家拥有星闪测试能力的第三方机构;
10.具备CE commom charger指令测试能力;
11.具备(EU)2023/1669、(EU)2023/1670测试能力;
12.具备欧盟RED网络安全(CNAS、A2LA资质),无障碍法案(CNAS资质)测试能力;
13.具备欧盟无人机指令测试能力。
14.PTCRB/GCF授权实验室,欧/美/中 一致性场测
15.业务范围包含了全球两百多个国家的认证转证服务;


