澄清与常见误解
概述
本节汇集了一系列「澄清」——针对那些关于市场准入的常见假设与网络弹性法案 (Cyber Resilience Act, CRA) 实际运作方式相背离的情形。本节尤其面向那些来自以证书为核心的监管文化、并将产品证书视为一次性入场券的制造商。
CRA 并非如此运作。它是一项全生命周期义务,而不是一份一次性取得的证书。下面每条澄清都聚焦于一个常见误解,解释 CRA 为何不同,并指向展示「具体应该做什么」的操作章节。
本节面向谁
非欧盟的含数字元素产品制造商——尤其是工业通信硬件(交换机、网关、路由器)——他们持有或计划取得 IEC 62443、ISO 9001 或 ISO 27001 证书,并认为该证书已满足 CRA。事实并非如此。本节解释原因,以及在此之外还需要什么。
本节包含的澄清
| # | 澄清 | 一句话概括 |
|---|---|---|
| 1 | 证书 vs. CRA 全生命周期 | 证书是一次性的关口;CRA 是由制造商负责、贯穿整个产品生命周期的持续流程。 |
| 2 | IEC 62443、ISO 与 CRA | IEC 62443 与 ISO 9001 / 27001 与 CRA 有重叠,但都不涵盖 CRA 的任何持续运营与报告义务。 |
本节会随时间扩充。未来的其他界定(如 CRA 与 NIS2、CRA 与「仅 CE 标志」思维)将作为独立的澄清在此补充。
相关章节
- 协调标准 (Art. 5–6) —— 哪些标准可建立合规推定
- 合规评估 —— 各产品类别的评估路径
- ENISA 报告流程 —— 24 小时 / 72 小时 / 14 天报告义务