证书 vs. CRA 全生命周期
在大多数出口市场,产品证书就是终点线:通过一次评估、拿到证书,产品便可进入市场。网络弹性法案 (Cyber Resilience Act, CRA) 有意打破了这一模式。本页用每个出口商都已熟悉的对照来解释其中的区别:ISO 9001。
熟悉的模式:认证作为一次性入场关口
产品认证通常作为单一的入场关口运作:
| 认证 | 你要做什么 | 结果 |
|---|---|---|
| CE 标志(传统指令) | 合格评定 | 证书 / 声明 → 市场准入 |
| EMC / 安全(经检测机构) | 型式测试 | 证书 → 市场准入 |
| CCC | 型式测试 | 证书 → 市场准入 |
| IEC 62443-4-1 / -4-2 | 审核 | 证书 →「我们是安全的」 |
在这种模式下,「合规」是通过取得证书而达到的一种状态,而评定机构承担了对结论的大部分责任。证书签发之后,对主管机关不再有持续的产品相关义务。这是一种完全合理的预期——以往大多数产品监管正是这样运作的。
为什么透过这副「证书眼镜」会把 CRA 读错
透过证书的眼镜来读,CRA 的各项要求会被系统性地误解:
- SBOM(软件物料清单)看起来像是一份只需制作一次的文档。
- CVD 政策(协调漏洞披露)看起来像是一份律师起草的文本。
- ENISA 报告义务看起来像是一份由检测机构替你提交的表格。
这些读法没有一个是正确的。它们每一个都是你要持续运营的流程——只要产品还在市场上就要一直运行——而不是一次性取得的产物。
ISO 9001 类比
几乎每个出口商都已持有或了解 ISO 9001。它是通往「CRA 实际如何思考」的最清晰桥梁,分三步。
1 —— 锚定到你已知的(CE 逻辑)。 对于含数字元素的产品,CRA 合规成为 CE 标志的前提。对于重要产品(Annex III),合规可能需要公告机构(Notified Body)的介入。所以——最终确实存在一份正式的合规证明,与其他受监管的产品类别类似。(适用哪条路径取决于产品类别 → 合规评估。)
2 —— 转向流程逻辑(这正是 ISO 9001 的部分)。 CRA 并不只是在某一时点评估产品。它评估你的流程是否存在并有效运行——正如 ISO 9001 审核的是你的质量管理体系,而非你的最终产品。一份 ISO 9001 证书证明你的 QMS 切实满足标准。它并不意味着质量问题不可能发生;它意味着你运营着一套应对质量问题的流程。CRA 对安全采用完全相同的逻辑。
3 —— 决定性的区别。
没有任何认证机构能为你按停这只时钟
ISO 9001 没有面向主管机关的外部报告义务。CRA 有。如果在你的产品中发现了一个正被主动利用的漏洞——无论是由你自己、安全研究人员还是客户发现——你都有 24 小时时间向 ENISA 和指定的 CSIRT 提交早期预警(Art. 14(1) CRA),随后是 72 小时通知和最终报告。没有任何证书、检测机构或服务商能为你按停这只时钟。你需要一套能够做到这一点的内部流程。
CRA 作为全生命周期义务
证书是一个时刻;而义务贯穿整个产品生命周期。操作细节在下方链接的章节中——这里只是一张地图。
| 阶段 | CRA 的要求 | 在何处涵盖 |
|---|---|---|
| 投放市场之前 | 风险评估、SBOM、技术文档(Annex VII)、合格评定、可用的 CVD 联系点 | 技术文档 · SBOM · 合规评估 |
| 在市场期间 (关键阶段) | 持续 CVE 监控、免费安全更新、按版本保持最新的 SBOM、24 小时 / 72 小时 / 14 天 ENISA 报告、活跃的 CVD 渠道 | 漏洞管理 · ENISA 报告 · 披露政策 |
| 支持期 | 在支持期内提供安全更新——至少 5 年,若产品预期寿命更长则按预期寿命 | 支持与生命周期 |
在市场期间正是证书终止、而 CRA 继续的地方
证书审核是一张快照。CRA 的重心在于在市场期间这一阶段——审核之后的数年里,证书完全无法说明你是否仍在监控、修补和报告。
这在实践中意味着什么
以下任何一项都无法由证书来提供,因为它们是运营任务,而非评定任务:
- 一套能够在 24 小时内发现并报告的内部流程。
- 对自有代码及所有第三方组件的持续 CVE 监控。
- 为每个固件 / 软件版本保持最新的 SBOM。
- 一个安全研究人员真正能够触及的活跃 CVD 渠道。
- 在整个支持期内免费提供的安全更新。
下一篇:IEC 62443、ISO 与 CRA —— 具体标准如何对应到 CRA,以及它们究竟涵盖什么、不涵盖什么。