本文档正在积极开发中,尚未最终定稿。
Skip to content

IEC 62443、ISO 标准与 CRA

是补充,而非批评

IEC 62443 是一项有价值的标准,与 CRA 有大量重叠。遵循它的制造商做对了一件事。本页的目的是界定——这些标准相对于 CRA 涵盖什么、不涵盖什么——而不是判定它们有误。

在工业通信硬件制造商中,有一种普遍的看法:IEC 62443 证书等同于 CRA 合规。事实并非如此。IEC 62443 是一个坚实的基础,与多项 CRA 要求重叠,但它并未覆盖 CRA 持续的运营与报告义务。

IEC 62443-4-1 与 -4-2 实际涵盖什么

标准主题重叠于关键局限
IEC 62443-4-1安全的产品开发生命周期(SDLC):安全管理、设计、实现、验证、补丁与停产(End-of-Life)流程CRA Annex I 第二部分(漏洞处理 / 安全流程要求)审核是一张快照;它不验证产品上市后的持续运营
IEC 62443-4-2组件层面的技术安全要求(身份验证、访问控制、数据完整性、通信安全),按安全等级 SL 1–4 分级CRA Annex I 第一部分(产品的基本网络安全要求)对投放市场后的持续制造商义务只字未提

两者都是真实而有用的——而且两者都是在单一时点上评定的。

主要对比

维度IEC 62443-4-1IEC 62443-4-2ISO 9001CRA
评定对象开发流程产品属性质量流程流程 + 产品 + 持续运营
何时评定快照快照快照 + 年度监督整个产品生命周期
是否存在证书评估路径取决于类别(见下)
持续的制造商义务至再认证前无至再认证前无维持 QMSCVE 监控、修补、SBOM 维护、ENISA 报告
向主管机关的报告义务有 —— ENISA:24 小时早期预警、72 小时通知
上市后的责任与认证方共担与认证方共担与认证方共担仅制造商
最低支持义务在支持期内提供安全更新(≥ 5 年 / 预期寿命)
终止于证书到期证书到期证书到期市场供应终止 + 支持期

评估路径并非「类别 = 证书」

对 CRA 而言,评估路径取决于产品类别以及是否适用协调标准:标准类 → Module A(自我评定);I 类 → 仅在完整适用协调标准时为 Module A,否则为 Module B+C;II 类 → Module B+C 或 Module H;关键类 → EUCC。参见产品分类协调标准

IEC 62443 不能替代什么

没有任何审核证书能替代以下各项,因为它们是运营任务,而非评定任务:

  • 按固件版本提供并持续保持最新的 SBOMSBOM 与签名
  • ENISA 报告义务 —— 对正被主动利用的漏洞 24 小时早期预警、72 小时通知、14 天最终报告 → ENISA 报告
  • 持续的 CVE 监控基础设施(持续进行,无法在单一时点审核) → 漏洞管理
  • 作为安全研究人员可用渠道的 CVD 政策披露政策
  • 整个支持期内提供安全更新支持与生命周期

没有任何审核能替代一项运营任务。证书确认的是某一时点的状态;而这些是必须持续运行的流程。

标准仍然能如何帮助你

遵循 IEC 62443 或持有 ISO 证书确实有用——前提是你理解它们的角色:

  • 合规推定仅来自其参考文献已在欧盟官方公报(OJEU)发布的协调标准。在此之前,没有任何标准——包括 IEC 62443——能自动赋予 CRA 合规。IEC 62443 目前是一项参考,而非协调的 CRA 标准。 → 协调标准
  • 既有的 QMS(ISO 9001 / ISO 27001)是满足 CRA 流程要求的坚实基础,并能很好地融入 Module H 路径。 → Module H

返回:证书 vs. CRA 全生命周期

文档基于 CC BY-NC 4.0 许可 · 代码基于 MIT 许可