IEC 62443、ISO 标准与 CRA
是补充,而非批评
IEC 62443 是一项有价值的标准,与 CRA 有大量重叠。遵循它的制造商做对了一件事。本页的目的是界定——这些标准相对于 CRA 涵盖什么、不涵盖什么——而不是判定它们有误。
在工业通信硬件制造商中,有一种普遍的看法:IEC 62443 证书等同于 CRA 合规。事实并非如此。IEC 62443 是一个坚实的基础,与多项 CRA 要求重叠,但它并未覆盖 CRA 持续的运营与报告义务。
IEC 62443-4-1 与 -4-2 实际涵盖什么
| 标准 | 主题 | 重叠于 | 关键局限 |
|---|---|---|---|
| IEC 62443-4-1 | 安全的产品开发生命周期(SDLC):安全管理、设计、实现、验证、补丁与停产(End-of-Life)流程 | CRA Annex I 第二部分(漏洞处理 / 安全流程要求) | 审核是一张快照;它不验证产品上市后的持续运营 |
| IEC 62443-4-2 | 组件层面的技术安全要求(身份验证、访问控制、数据完整性、通信安全),按安全等级 SL 1–4 分级 | CRA Annex I 第一部分(产品的基本网络安全要求) | 对投放市场后的持续制造商义务只字未提 |
两者都是真实而有用的——而且两者都是在单一时点上评定的。
主要对比
| 维度 | IEC 62443-4-1 | IEC 62443-4-2 | ISO 9001 | CRA |
|---|---|---|---|---|
| 评定对象 | 开发流程 | 产品属性 | 质量流程 | 流程 + 产品 + 持续运营 |
| 何时评定 | 快照 | 快照 | 快照 + 年度监督 | 整个产品生命周期 |
| 是否存在证书 | 是 | 是 | 是 | 评估路径取决于类别(见下) |
| 持续的制造商义务 | 至再认证前无 | 至再认证前无 | 维持 QMS | CVE 监控、修补、SBOM 维护、ENISA 报告 |
| 向主管机关的报告义务 | 无 | 无 | 无 | 有 —— ENISA:24 小时早期预警、72 小时通知 |
| 上市后的责任 | 与认证方共担 | 与认证方共担 | 与认证方共担 | 仅制造商 |
| 最低支持义务 | 无 | 无 | 无 | 在支持期内提供安全更新(≥ 5 年 / 预期寿命) |
| 终止于 | 证书到期 | 证书到期 | 证书到期 | 市场供应终止 + 支持期 |
评估路径并非「类别 = 证书」
对 CRA 而言,评估路径取决于产品类别以及是否适用协调标准:标准类 → Module A(自我评定);I 类 → 仅在完整适用协调标准时为 Module A,否则为 Module B+C;II 类 → Module B+C 或 Module H;关键类 → EUCC。参见产品分类与协调标准。
IEC 62443 不能替代什么
没有任何审核证书能替代以下各项,因为它们是运营任务,而非评定任务:
- 按固件版本提供并持续保持最新的 SBOM → SBOM 与签名
- ENISA 报告义务 —— 对正被主动利用的漏洞 24 小时早期预警、72 小时通知、14 天最终报告 → ENISA 报告
- 持续的 CVE 监控基础设施(持续进行,无法在单一时点审核) → 漏洞管理
- 作为安全研究人员可用渠道的 CVD 政策 → 披露政策
- 在整个支持期内提供安全更新 → 支持与生命周期
没有任何审核能替代一项运营任务。证书确认的是某一时点的状态;而这些是必须持续运行的流程。
标准仍然能如何帮助你
遵循 IEC 62443 或持有 ISO 证书确实有用——前提是你理解它们的角色:
- 合规推定仅来自其参考文献已在欧盟官方公报(OJEU)发布的协调标准。在此之前,没有任何标准——包括 IEC 62443——能自动赋予 CRA 合规。IEC 62443 目前是一项参考,而非协调的 CRA 标准。 → 协调标准
- 既有的 QMS(ISO 9001 / ISO 27001)是满足 CRA 流程要求的坚实基础,并能很好地融入 Module H 路径。 → Module H