本文档正在积极开发中,尚未最终定稿。
Skip to content

证书 vs. CRA 全生命周期

在大多数出口市场,产品证书就是终点线:通过一次评估、拿到证书,产品便可进入市场。网络弹性法案 (Cyber Resilience Act, CRA) 有意打破了这一模式。本页用每个出口商都已熟悉的对照来解释其中的区别:ISO 9001

熟悉的模式:认证作为一次性入场关口

产品认证通常作为单一的入场关口运作:

认证你要做什么结果
CE 标志(传统指令)合格评定证书 / 声明 → 市场准入
EMC / 安全(经检测机构)型式测试证书 → 市场准入
CCC型式测试证书 → 市场准入
IEC 62443-4-1 / -4-2审核证书 →「我们是安全的」

在这种模式下,「合规」是通过取得证书而达到的一种状态,而评定机构承担了对结论的大部分责任。证书签发之后,对主管机关不再有持续的产品相关义务。这是一种完全合理的预期——以往大多数产品监管正是这样运作的。

为什么透过这副「证书眼镜」会把 CRA 读错

透过证书的眼镜来读,CRA 的各项要求会被系统性地误解:

  • SBOM(软件物料清单)看起来像是一份只需制作一次的文档。
  • CVD 政策(协调漏洞披露)看起来像是一份律师起草的文本。
  • ENISA 报告义务看起来像是一份由检测机构替你提交的表格。

这些读法没有一个是正确的。它们每一个都是你要持续运营的流程——只要产品还在市场上就要一直运行——而不是一次性取得的产物。

ISO 9001 类比

几乎每个出口商都已持有或了解 ISO 9001。它是通往「CRA 实际如何思考」的最清晰桥梁,分三步。

1 —— 锚定到你已知的(CE 逻辑)。 对于含数字元素的产品,CRA 合规成为 CE 标志的前提。对于重要产品(Annex III),合规可能需要公告机构(Notified Body)的介入。所以——最终确实存在一份正式的合规证明,与其他受监管的产品类别类似。(适用哪条路径取决于产品类别 → 合规评估。)

2 —— 转向流程逻辑(这正是 ISO 9001 的部分)。 CRA 并不只是在某一时点评估产品。它评估你的流程是否存在并有效运行——正如 ISO 9001 审核的是你的质量管理体系,而非你的最终产品。一份 ISO 9001 证书证明你的 QMS 切实满足标准。它并不意味着质量问题不可能发生;它意味着你运营着一套应对质量问题的流程。CRA 对安全采用完全相同的逻辑。

3 —— 决定性的区别。

没有任何认证机构能为你按停这只时钟

ISO 9001 没有面向主管机关的外部报告义务。CRA 有。如果在你的产品中发现了一个正被主动利用的漏洞——无论是由你自己、安全研究人员还是客户发现——你都有 24 小时时间向 ENISA 和指定的 CSIRT 提交早期预警(Art. 14(1) CRA),随后是 72 小时通知和最终报告。没有任何证书、检测机构或服务商能为你按停这只时钟。你需要一套能够做到这一点的内部流程。

CRA 作为全生命周期义务

证书是一个时刻;而义务贯穿整个产品生命周期。操作细节在下方链接的章节中——这里只是一张地图。

阶段CRA 的要求在何处涵盖
投放市场之前风险评估、SBOM、技术文档(Annex VII)、合格评定、可用的 CVD 联系点技术文档 · SBOM · 合规评估
在市场期间 (关键阶段)持续 CVE 监控、免费安全更新、按版本保持最新的 SBOM、24 小时 / 72 小时 / 14 天 ENISA 报告、活跃的 CVD 渠道漏洞管理 · ENISA 报告 · 披露政策
支持期在支持期内提供安全更新——至少 5 年,若产品预期寿命更长则按预期寿命支持与生命周期

在市场期间正是证书终止、而 CRA 继续的地方

证书审核是一张快照。CRA 的重心在于在市场期间这一阶段——审核之后的数年里,证书完全无法说明你是否仍在监控、修补和报告。

这在实践中意味着什么

以下任何一项都无法由证书来提供,因为它们是运营任务,而非评定任务

  • 一套能够在 24 小时内发现并报告的内部流程。
  • 对自有代码及所有第三方组件的持续 CVE 监控
  • 为每个固件 / 软件版本保持最新的 SBOM
  • 一个安全研究人员真正能够触及的活跃 CVD 渠道
  • 在整个支持期内免费提供的安全更新

下一篇:IEC 62443、ISO 与 CRA —— 具体标准如何对应到 CRA,以及它们究竟涵盖什么、不涵盖什么。

文档基于 CC BY-NC 4.0 许可 · 代码基于 MIT 许可