OBL-ART13-01Binding
在产品全生命周期内确保产品安全(安全设计)
制造商必须对含数字元素的产品进行设计、开发和生产,确保其根据相关风险提供适当水平的网络安全保障。安全必须贯穿产品的整个生命周期——从设计阶段直至产品退出服务。
Art. 13(1)Art. 13(2)
Manufacturer
角色
Art. 3(13)制造商
制造商是指设计或制造含数字元素产品(或委托他人设计或制造),并以自己的名称或商标销售该产品的任何自然人或法人。
关键事实
- 在CRA框架下承担最重的义务
- 必须开展网络安全风险评估
- 负责在支持期(至少5年)内提供安全更新
- 须从2026年9月11日起向ENISA报告被积极利用的漏洞
- 须起草欧盟合规声明并加贴CE标志
关键截止日期
1
2024年12月11日 — CRA正式生效
该法规在法律上已生效。自该日期起投放市场的产品须在应用日期到达后符合CRA要求。
2026年9月11日 — 漏洞报告义务生效
根据第14条向ENISA报告漏洞和事故成为强制性要求。这是第一个硬性截止日期。制造商必须在此日期之前建立好报告流程。
3
2027年6月11日 — 合格评定机构通知
成员国须向欧委会通报合格评定机构。
4
2027年12月11日 — 法规全面适用
所有CRA要求适用于所有范围内的产品。不得再将不符合要求的新产品投放欧盟市场。
义务(30条)
OBL-ART13-02Binding
在投放市场前开展网络安全风险评估
制造商在将含数字元素的产品投放市场之前,必须对该产品相关的网络安全风险进行评估。风险评估必须为产品的设计、开发和生产提供依据,并作为技术文档的组成部分予以记录。
Art. 13(2)
Manufacturer
OBL-ART13-03Binding
编制并维护技术文档(附件VII)
制造商必须编制技术文档,其中包含证明产品符合CRA基本要求所需的全部信息。技术文档必须保持最新状态,并自投放市场之日起保存十年(或产品预期使用寿命,以较长者为准)。
Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding
完成适用的合格评定程序
制造商必须采用适合其产品类别的程序来证明合规性。默认产品可自我认证(模块A)。重要I类产品若适用协调标准,可自我认证;否则须引入公告机构。重要II类和关键产品始终须有公告机构参与。
Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding
对软件组件尽职调查(SBOM与供应链)
当含数字元素的产品中包含非制造商自行开发的软件组件时,制造商必须对该组件实施适当的尽职调查,以确保其不会危及产品的安全性。必须编制并维护软件物料清单(SBOM)作为技术文档的组成部分。
Art. 13(5)
Manufacturer
OBL-ART13-06Binding
确保投放市场时不含已知可利用漏洞
制造商在将含数字元素的产品投放市场时,必须确保产品不含任何已知可利用漏洞。本义务适用于发布时及此后发布的每个后续更新版本。
Art. 13(6)
Manufacturer
OBL-ART13-07Binding
建立并发布协调漏洞披露(CVD)政策
制造商必须制定协调漏洞披露(CVD)政策并公开发布。该政策必须提供漏洞报告联系渠道,并说明制造商处理报告的方式,包括确认时限及与研究人员协调披露的流程。
Art. 13(7)
Manufacturer
OBL-ART13-08Binding
声明并披露产品支持期限
制造商必须声明其产品的支持期限,并在购买前向用户提供相关信息。支持期限不得少于五年,除非产品的预期使用期限更短。支持期限终止日期必须出现在产品文档及销售点信息中。
Art. 13(8)
Manufacturer
OBL-ART13-09Binding
在支持期内提供安全更新
制造商必须在至少五年内(或更短的预期使用期限内)免费提供安全更新。更新必须及时交付,并与功能更新分开发布,且支持期限终止日期必须予以披露。
Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding
在整个支持期内处理和修复漏洞
制造商必须建立流程,在整个支持期内识别、分析和处理产品中的漏洞。附件I第II部分规定了具体要求,包括CVE分配、CVSS评分、协调披露和及时修复。
Art. 13(10)
Manufacturer
OBL-ART13-11Binding
编制欧盟符合性声明(EU DoC)
制造商必须依据第28条和附件V编制欧盟符合性声明,声明产品符合CRA的所有适用要求。欧盟符合性声明必须保持更新,并向市场监督机构提供,适用时亦应向用户提供。
Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding
在产品上加贴CE标志
制造商必须在将产品投放欧盟市场之前在其产品上加贴CE标志,以证明产品符合所有适用的CRA要求。CE标志必须清晰可见、字迹清楚且不易磨灭,且必须在编制欧盟符合性声明之后方可加贴。
Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding
确保产品可被唯一识别(序列化)
制造商必须确保每个含数字元素的产品标有型号、批次编号、序列号或其他可供识别的要素。对于纯软件产品,版本号即满足此目的。
Art. 13(14)
Manufacturer
OBL-ART13-14Binding
在产品上标注制造商联系信息
制造商必须在产品或其包装上标注其名称、注册商品名称或商标,以及邮政地址。如有电子联系地址(网站或电子邮件)也必须一并标注。这使市场监督机构、进口商、经销商和用户能够联系制造商。
Art. 13(15)
Manufacturer
OBL-ART13-15Binding
向用户提供说明和信息(附件II)
制造商必须为产品附上附件II所列的信息和说明,使用用户能够容易理解的语言。内容包括产品标识、安全功能、漏洞报告联系方式、支持期限终止日期及安全使用指导。
Art. 13(16)
Manufacturer
OBL-ART13-16Binding
采取纠正措施并配合市场监督
若制造商有理由认为其已投放市场的产品不符合CRA要求,必须立即采取纠正措施——必要时包括撤回或召回。制造商还必须配合市场监督机构,并提供所要求的全部信息和文件。
Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding
向ENISA报告被主动利用的漏洞和安全事件
制造商必须通过单一报告平台在24小时内(早期预警)和72小时内(通知)向ENISA报告其产品中任何被主动利用的漏洞。最终报告须在14天内提交。本义务自2026年9月11日起适用。
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding
在72小时内向ENISA提交详细漏洞通知
制造商在知悉产品中存在被主动利用的漏洞后72小时内,必须通过单一报告平台向ENISA提交详细漏洞通知。该通知紧随24小时早期预警(OBL-ART14-01)之后,必须包含漏洞和受影响产品的技术详情。
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
在14天内向ENISA提交漏洞最终报告
制造商在知悉被主动利用的漏洞后14天内,必须向ENISA提交最终报告,内容包括对漏洞的完整描述、已采取的纠正措施,以及该漏洞是否已公开披露或已分配CVE。
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
及时通知用户被主动利用的漏洞
当漏洞被主动利用时,制造商必须及时通知受影响的用户。通知内容必须包含足以让用户采取防护措施的信息,包括在补丁发布前可采用的缓解措施。
Art. 14(4)
Manufacturer
OBL-ART18-01Binding
确保授权代表的授权书涵盖法定最低任务
制造商可通过书面授权书指定授权代表(AR)。授权书须使AR至少能够履行三项法定 最低任务:将欧盟合格声明和技术文件保存至少10年供市场监督机构查阅;应要求 提供合格信息;配合纠正措施。与设计和生产相关的核心义务不得委托。
Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART22-01Binding
对产品进行实质性改造并将其投放市场的任何人将成为制造商
除原制造商、进口商或分销商以外的任何自然人或法人,若对产品进行实质性改造并 将其投放市场,即被视为制造商。该人须就受改造影响的产品部分,或若改造影响整个 产品的网络安全则就整个产品,遵守第13条和第14条。
Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding
维护供应链可追溯性记录并应要求提供
所有经济经营者须能够应市场监督机构要求,识别 (a) 向其供应产品的任何经济经营者, 以及 (b) 其向其供应产品的任何经济经营者。记录须从每次交易起保存10年。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART28-01Binding
起草包含所有必要信息的欧盟合格声明
制造商须按照附件V的模板结构起草包含所有规定要素的欧盟合格声明(EU DoC)。欧盟 合格声明声明产品符合适用的基本网络安全要求。简化版(附件VI)可随附产品,但完整 DoC须可在线获取。发生相关变更时须更新DoC。
Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding
起草并维护包含附件VII所有要素的技术文件
制造商须在产品投放市场前起草技术文件,并持续更新(至少在支持期内)。文件须 包含附件VII列出的所有要素,证明产品及制造商流程如何满足附件I的基本网络安全 要求。须保持可供市场监督机构查阅至少10年或支持期。
Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding
在将产品投放市场前选择并完成正确的合格评定程序
制造商须在产品投放市场前进行合格评定,证明产品和制造商的流程均满足附件I的 基本要求。所需程序取决于产品分类:标准产品采用A模块(自我评定),某些情况下 重要产品须第三方评定,II类重要产品和关键产品须强制参与公告机构。
Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
OBL-ART6-01Binding
确保产品符合基本网络安全要求(附件I 第I部分)
含数字元素的产品只有在满足附件I 第I部分规定的基本网络安全要求时,方可在欧盟市场 上市——前提是正确安装、维护并按预期用途使用,且已安装所需的安全更新。
Art. 6(a)
Manufacturer
OBL-ART6-02Binding
确保漏洞处理流程符合基本要求(附件I 第II部分)
含数字元素的产品只有在制造商建立的流程符合附件I 第II部分基本网络安全要求 (涵盖整个支持期内漏洞的识别、管理和披露)的情况下,方可在欧盟市场上市。
Art. 6(b)
Manufacturer
OBL-ART7-01Binding
判断产品是否属于"重要产品"并适用正确的合格评定程序
核心功能属于附件III类别的产品为"含数字元素的重要产品",须遵循更严格的合格 评定程序。I类重要产品仅在完全适用协调标准或通用规范时方可使用A模块自我评定; 否则需要公告机构。II类始终需要公告机构。
Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding
判断产品是否属于"关键产品"并获取欧洲网络安全认证
核心功能属于附件IV(带安全箱的硬件设备、智能电表网关和智能卡/安全元件)的产品 为"含数字元素的关键产品"。委员会采用相关委托行为后,这些产品须获得保证等级不低于 "充分"的欧洲网络安全证书。在此之前,须按B+C模块或H模块进行合格评定。
Art. 8(1)Art. 32(4)
Manufacturer