CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

义务库

法规(EU)2024/2847下的所有义务——可追溯至具体条款,附有通俗语言解释和证据指导。

OBL-ART7-01Binding

判断产品是否属于"重要产品"并适用正确的合格评定程序

核心功能属于附件III类别的产品为"含数字元素的重要产品",须遵循更严格的合格 评定程序。I类重要产品仅在完全适用协调标准或通用规范时方可使用A模块自我评定; 否则需要公告机构。II类始终需要公告机构。

Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding

判断产品是否属于"关键产品"并获取欧洲网络安全认证

核心功能属于附件IV(带安全箱的硬件设备、智能电表网关和智能卡/安全元件)的产品 为"含数字元素的关键产品"。委员会采用相关委托行为后,这些产品须获得保证等级不低于 "充分"的欧洲网络安全证书。在此之前,须按B+C模块或H模块进行合格评定。

Art. 8(1)Art. 32(4)
Manufacturer
OBL-ART13-01Binding

在产品全生命周期内确保产品安全(安全设计)

制造商必须对含数字元素的产品进行设计、开发和生产,确保其根据相关风险提供适当水平的网络安全保障。安全必须贯穿产品的整个生命周期——从设计阶段直至产品退出服务。

Art. 13(1)Art. 13(2)
Manufacturer
OBL-ART13-02Binding

在投放市场前开展网络安全风险评估

制造商在将含数字元素的产品投放市场之前,必须对该产品相关的网络安全风险进行评估。风险评估必须为产品的设计、开发和生产提供依据,并作为技术文档的组成部分予以记录。

Art. 13(2)
Manufacturer
OBL-ART13-03Binding

编制并维护技术文档(附件VII)

制造商必须编制技术文档,其中包含证明产品符合CRA基本要求所需的全部信息。技术文档必须保持最新状态,并自投放市场之日起保存十年(或产品预期使用寿命,以较长者为准)。

Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding

完成适用的合格评定程序

制造商必须采用适合其产品类别的程序来证明合规性。默认产品可自我认证(模块A)。重要I类产品若适用协调标准,可自我认证;否则须引入公告机构。重要II类和关键产品始终须有公告机构参与。

Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding

对软件组件尽职调查(SBOM与供应链)

当含数字元素的产品中包含非制造商自行开发的软件组件时,制造商必须对该组件实施适当的尽职调查,以确保其不会危及产品的安全性。必须编制并维护软件物料清单(SBOM)作为技术文档的组成部分。

Art. 13(5)
Manufacturer
OBL-ART13-06Binding

确保投放市场时不含已知可利用漏洞

制造商在将含数字元素的产品投放市场时,必须确保产品不含任何已知可利用漏洞。本义务适用于发布时及此后发布的每个后续更新版本。

Art. 13(6)
Manufacturer
OBL-ART13-07Binding

建立并发布协调漏洞披露(CVD)政策

制造商必须制定协调漏洞披露(CVD)政策并公开发布。该政策必须提供漏洞报告联系渠道,并说明制造商处理报告的方式,包括确认时限及与研究人员协调披露的流程。

Art. 13(7)
Manufacturer
OBL-ART13-08Binding

声明并披露产品支持期限

制造商必须声明其产品的支持期限,并在购买前向用户提供相关信息。支持期限不得少于五年,除非产品的预期使用期限更短。支持期限终止日期必须出现在产品文档及销售点信息中。

Art. 13(8)
Manufacturer
OBL-ART13-09Binding

在支持期内提供安全更新

制造商必须在至少五年内(或更短的预期使用期限内)免费提供安全更新。更新必须及时交付,并与功能更新分开发布,且支持期限终止日期必须予以披露。

Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding

在整个支持期内处理和修复漏洞

制造商必须建立流程,在整个支持期内识别、分析和处理产品中的漏洞。附件I第II部分规定了具体要求,包括CVE分配、CVSS评分、协调披露和及时修复。

Art. 13(10)
Manufacturer
OBL-ART13-11Binding

编制欧盟符合性声明(EU DoC)

制造商必须依据第28条和附件V编制欧盟符合性声明,声明产品符合CRA的所有适用要求。欧盟符合性声明必须保持更新,并向市场监督机构提供,适用时亦应向用户提供。

Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding

在产品上加贴CE标志

制造商必须在将产品投放欧盟市场之前在其产品上加贴CE标志,以证明产品符合所有适用的CRA要求。CE标志必须清晰可见、字迹清楚且不易磨灭,且必须在编制欧盟符合性声明之后方可加贴。

Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding

确保产品可被唯一识别(序列化)

制造商必须确保每个含数字元素的产品标有型号、批次编号、序列号或其他可供识别的要素。对于纯软件产品,版本号即满足此目的。

Art. 13(14)
Manufacturer
OBL-ART13-14Binding

在产品上标注制造商联系信息

制造商必须在产品或其包装上标注其名称、注册商品名称或商标,以及邮政地址。如有电子联系地址(网站或电子邮件)也必须一并标注。这使市场监督机构、进口商、经销商和用户能够联系制造商。

Art. 13(15)
Manufacturer
OBL-ART13-15Binding

向用户提供说明和信息(附件II)

制造商必须为产品附上附件II所列的信息和说明,使用用户能够容易理解的语言。内容包括产品标识、安全功能、漏洞报告联系方式、支持期限终止日期及安全使用指导。

Art. 13(16)
Manufacturer
OBL-ART13-16Binding

采取纠正措施并配合市场监督

若制造商有理由认为其已投放市场的产品不符合CRA要求,必须立即采取纠正措施——必要时包括撤回或召回。制造商还必须配合市场监督机构,并提供所要求的全部信息和文件。

Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding

向ENISA报告被主动利用的漏洞和安全事件

制造商必须通过单一报告平台在24小时内(早期预警)和72小时内(通知)向ENISA报告其产品中任何被主动利用的漏洞。最终报告须在14天内提交。本义务自2026年9月11日起适用。

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

在72小时内向ENISA提交详细漏洞通知

制造商在知悉产品中存在被主动利用的漏洞后72小时内,必须通过单一报告平台向ENISA提交详细漏洞通知。该通知紧随24小时早期预警(OBL-ART14-01)之后,必须包含漏洞和受影响产品的技术详情。

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

在14天内向ENISA提交漏洞最终报告

制造商在知悉被主动利用的漏洞后14天内,必须向ENISA提交最终报告,内容包括对漏洞的完整描述、已采取的纠正措施,以及该漏洞是否已公开披露或已分配CVE。

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

及时通知用户被主动利用的漏洞

当漏洞被主动利用时,制造商必须及时通知受影响的用户。通知内容必须包含足以让用户采取防护措施的信息,包括在补丁发布前可采用的缓解措施。

Art. 14(4)
Manufacturer
OBL-ART18-01Binding

确保授权代表的授权书涵盖法定最低任务

制造商可通过书面授权书指定授权代表(AR)。授权书须使AR至少能够履行三项法定 最低任务:将欧盟合格声明和技术文件保存至少10年供市场监督机构查阅;应要求 提供合格信息;配合纠正措施。与设计和生产相关的核心义务不得委托。

Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART19-01Binding

在投放欧盟市场前核实产品合规性

进口商在将含数字元素的产品投放欧盟市场之前,必须核实制造商已完成适当的合格评定程序、已编制技术文档、已加贴CE标志,并已提供欧盟符合性声明或性能声明。

Art. 19(1)
Importer
OBL-ART19-02Binding

不得将不合规产品投放市场

若进口商认为或有理由相信某含数字元素的产品不符合基本网络安全要求,则在合规性得到满足之前,不得将该产品投放市场。

Art. 19(2)
Importer
OBL-ART19-03Binding

在产品上标注进口商联系方式

进口商必须在产品本身、包装或随附文件上标注其名称、注册商品名称或商标、邮政地址,以及网站或电子邮件地址(如有)。

Art. 19(3)
Importer
OBL-ART19-04Binding

确保安全的存储和运输条件

在含数字元素的产品处于进口商责任范围内期间,进口商必须确保存储和运输条件不会危及产品符合基本网络安全要求的合规性。

Art. 19(4)
Importer
OBL-ART19-05Binding

采取纠正措施并报告重大网络安全风险

若进口商获悉其已投放市场的产品不合规,必须立即采取纠正措施——必要时包括撤回或召回。若产品存在重大网络安全风险,进口商必须立即通知相关国家主管机构。

Art. 19(5)
Importer
OBL-ART19-06Binding

保存文件十年

进口商必须在产品投放市场后十年内保存欧盟符合性声明或性能声明的副本,并确保技术文档可应市场监督机构要求提供。

Art. 19(6)
Importer
OBL-ART19-07Binding

配合市场监督机构

应主管机构的合理请求,进口商必须以纸质或电子形式提供证明含数字元素的产品合规性所需的全部信息和文件,并配合所要求的任何纠正行动。

Art. 19(7)
Importer
OBL-ART20-01Binding

在投放市场前核实产品合规性

经销商在将含数字元素的产品投放市场时,必须尽职行事,核实产品是否加贴了CE标志、是否附有所需文件和信息,以及制造商和进口商(如适用)是否已履行其标注和标识义务。

Art. 20(1)
Distributor
OBL-ART20-02Binding

不得将不合规产品投放市场

若经销商认为或有理由相信某产品不符合CRA基本要求,则在合规性得到满足之前,经销商不得将该产品投放市场,并须通知制造商及(如适用)市场监督机构。

Art. 20(2)
Distributor
OBL-ART20-03Binding

确保安全的存储和运输条件

经销商必须确保,在含数字元素的产品处于其责任范围内期间,存储和运输条件不会危及产品符合基本网络安全要求的合规性。

Art. 20(3)
Distributor
OBL-ART20-04Binding

采取纠正措施并报告重大网络安全风险

若经销商获悉其已投放市场的产品不合规,必须立即采取纠正措施,必要时包括撤回或召回。若产品存在重大网络安全风险,必须立即通知相关国家市场监督机构。

Art. 20(4)
Distributor
OBL-ART20-05Binding

配合市场监督机构

应主管机构的合理请求,经销商必须提供证明产品合规性所需的全部信息和文件,并配合该机构要求的任何纠正行动。

Art. 20(5)
Distributor
OBL-ART22-01Binding

对产品进行实质性改造并将其投放市场的任何人将成为制造商

除原制造商、进口商或分销商以外的任何自然人或法人,若对产品进行实质性改造并 将其投放市场,即被视为制造商。该人须就受改造影响的产品部分,或若改造影响整个 产品的网络安全则就整个产品,遵守第13条和第14条。

Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding

维护供应链可追溯性记录并应要求提供

所有经济经营者须能够应市场监督机构要求,识别 (a) 向其供应产品的任何经济经营者, 以及 (b) 其向其供应产品的任何经济经营者。记录须从每次交易起保存10年。

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding

为开源软件建立并记录网络安全政策

开源软件管理者必须制定并记录网络安全政策,以促进安全产品的开发,并使其支持的开源软件组件中的漏洞得到有效处置。

Art. 24(1)
Open-source steward
OBL-ART24-02Binding

通报被主动利用的漏洞和严重安全事件

开源软件管理者必须及时向担任协调员的相关CSIRT通报其开源软件组件中任何被主动利用的漏洞,以及影响这些组件安全性的任何严重安全事件。

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

配合市场监督机构

开源软件管理者必须应市场监督机构的请求配合其工作,并提供履行其监管职责所需的全部信息。

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

应要求编制技术文档

应市场监督机构的请求,开源软件管理者必须为其管理的开源软件组件编制并持续更新技术文档,使其足以评估网络安全合规性。

Art. 24(4)
Open-source steward
OBL-ART28-01Binding

起草包含所有必要信息的欧盟合格声明

制造商须按照附件V的模板结构起草包含所有规定要素的欧盟合格声明(EU DoC)。欧盟 合格声明声明产品符合适用的基本网络安全要求。简化版(附件VI)可随附产品,但完整 DoC须可在线获取。发生相关变更时须更新DoC。

Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding

起草并维护包含附件VII所有要素的技术文件

制造商须在产品投放市场前起草技术文件,并持续更新(至少在支持期内)。文件须 包含附件VII列出的所有要素,证明产品及制造商流程如何满足附件I的基本网络安全 要求。须保持可供市场监督机构查阅至少10年或支持期。

Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding

在将产品投放市场前选择并完成正确的合格评定程序

制造商须在产品投放市场前进行合格评定,证明产品和制造商的流程均满足附件I的 基本要求。所需程序取决于产品分类:标准产品采用A模块(自我评定),某些情况下 重要产品须第三方评定,II类重要产品和关键产品须强制参与公告机构。

Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
Obligations library — CRA 合规中心