第一章:CRA 概述
文档控制
| 字段 | 值 |
|---|---|
| 文档标题 | CRA 合规手册 |
| 文档标识符 | BG-CRA-HB-001 |
| 版本 | 1.0 |
| 分类 | 公开 |
| 范围 | BAUER GROUP 所有含数字元素的产品 |
| 发布方 | BAUER GROUP – 信息安全部门 |
| 创建日期 | 2026-02-08 |
| 审批 | 信息安全官 (ISO) |
| 下次修订 | 2027-02-08 |
注意: 本文件为公开版本。个人数据(姓名、联系方式)未包含在本版本中,仅在内部版本中提供。
变更历史
| 版本 | 日期 | 作者 | 变更内容 |
|---|---|---|---|
| 1.0 | 2026-02-08 | BAUER GROUP | 初始版本 |
约束力
本手册对所有参与含数字元素产品 (Products with Digital Elements) 的开发、运营、分销或支持的 BAUER GROUP 员工具有约束力。偏离本手册所述流程需获得安全负责人和管理层的书面批准。
1.1 法规 (EU) 2024/2847 – 网络弹性法案
网络弹性法案 (Cyber Resilience Act, CRA) 是欧盟关于含数字元素产品横向网络安全要求的法规。该法规于2024年11月20日在《欧盟官方公报》上发布(OJ L, 2024/2847),并于2024年12月10日生效。
CRA 在所有欧盟成员国直接适用,对含数字元素产品的制造商 (Manufacturer)、进口商 (Importer) 和分销商 (Distributor) 规定了强制性义务。
法律特征
| 特征 | 详情 |
|---|---|
| 法律形式 | 欧盟法规(直接适用) |
| 发布 | OJ L, 2024/2847, 20.11.2024 |
| 生效日期 | 10.12.2024 |
| 报告义务自 | 11.09.2026(Art. 14) |
| 全面适用自 | 11.12.2027(所有要求) |
| 处罚 | 最高1500万欧元或全球年营业额的2.5%(Art. 64) |
1.2 目的与目标
CRA 追求两个核心目标:
产品安全要求(Annex I 第一部分) – 含数字元素的产品只有在满足基本网络安全要求后才能在欧盟市场上提供。这包括安全设计 (Security-by-Design)、保密性、完整性、可用性以及攻击面的最小化。
漏洞处理(Annex I 第二部分) – 制造商必须在整个支持期内(至少5年,Art. 13(8))系统地识别、记录、评估、修复漏洞,并向用户和主管机构报告。
与 NIS2 的关联
CRA 补充了 NIS2 指令(指令 (EU) 2022/2555)。NIS2 规范的是关键和重要实体运营方的网络安全,而 CRA 则针对这些实体所使用产品的安全性。CRA 的报告义务(Art. 14)以 NIS2 报告义务(Art. 23 NIS2)为蓝本,并使用相同的 ENISA 报告平台。
1.3 适用范围
根据 Art. 2 CRA,本法规适用于其预期用途或合理可预见用途包含与设备或网络的直接或间接逻辑或物理数据连接的含数字元素的产品。
对于 BAUER GROUP,这涉及:
- 软件 – 独立应用程序、微服务、API、容器镜像
- 固件 – 嵌入式系统(ESP32、STM32、Zephyr RTOS)
- 库 – 公开发布的 NPM 和 NuGet 包
- 含软件的硬件 – 物联网设备、工业控制器
- 远程数据处理 – 作为产品组成部分的云组件
详细的产品类别和豁免情况请参见 1.1 适用范围与产品。
本章子页面
| 章节 | 主题 |
|---|---|
| 1.1 | 适用范围与产品 |
| 1.2 | 角色与职责 |
| 1.3 | 截止日期与时间表 |
| 1.4 | 进口商义务 (Art. 15) |
| 1.5 | 授权代表 (Art. 16) |
| 1.6 | 分销商义务 (Art. 17) |
| 1.7 | 开源软件管理者 (Art. 18–19) |
| 1.8 | 实质性修改 (Art. 20) |
| 1.9 | 不合格 (Art. 22–23) |
| 1.10 | 市场监管 (Art. 52–58) |
| 1.11 | 处罚 (Art. 64) |
| 1.12 | 协调标准 (Art. 5–6) |
| 1.13 | 一般产品安全 (Art. 9) |
| 1.14 | NIS2 整合 |
1.4 本手册结构
本手册按照 CRA 的核心流程进行组织。每章涵盖一个独立的合规领域,包含法律依据、流程描述和操作实施:
| 章节 | 主题 | CRA 参考 |
|---|---|---|
| 第1章 | 概述、范围、角色、截止日期 | Art. 2, 3, 10, 13, 14, 16 |
| 第2章 | SBOM 与签名 | Art. 13(23), Art. 10(12), Annex I 第一部分 No. 3, 第二部分 No. 1 |
| 第3章 | 漏洞管理 | Art. 10(6), Annex I 第二部分 No. 2-8 |
| 第4章 | 事件响应与披露 | Art. 13(6), Art. 14 |
| 第5章 | 供应链安全 | Art. 10(4), Annex I 第二部分 No. 1 |
| 第6章 | 技术文档 | Art. 31, Annex VII |
| 第7章 | 合格评定 | Art. 24-28, Annex V, VIII |
| 第8章 | 合规矩阵 | 完整要求映射 |
| 附录 | 模板 | ENISA 通知、欧盟符合性声明、报告 |
1.5 工具链
BAUER GROUP 依赖全自动化工具链确保 CRA 合规,无需额外手动操作:
| 领域 | 工具 | 功能 | 状态 |
|---|---|---|---|
| SBOM 生成 | Trivy / Syft | 软件物料清单 (CycloneDX JSON) | 已启用 |
| 漏洞扫描 | Trivy, Grype | 基于 NVD + GitHub Advisory DB 的 CVE 检测 | 已启用 |
| 密钥扫描 | Gitleaks, GitGuardian | 检测暴露的密钥 | 已启用 |
| 依赖监控 | Dependabot, Renovate | 自动化依赖更新 | 已启用 |
| 许可证合规 | FOSSA / Syft | 基于白名单/黑名单的许可证评估 | 已启用 |
| 制品签名 | Cosign (Sigstore) | 容器镜像的完整性保证 | 已启用 |
| SBOM 签名 | Cosign (Blob-Signing) | SBOM 的完整性保证 | 已启用 |
| 基础镜像监控 | 自定义工作流 | Docker 基础镜像漏洞监控 | 已启用 |
| CVE 监控 | cra-scan.yml | 定期漏洞扫描并创建工单 | 已启用 |
| CRA 发布 | cra-release.yml | SBOM + 签名 + 扫描作为发布资产 | 已启用 |
| 软件安全中心报告 | cra-report.yml | 合规数据发送至 CRA 合规中心 | 已启用 |
| CI/CD | GitHub Actions | 所有合规流程的自动化 | 已启用 |
| 文档 | VitePress + GitHub Pages | 本合规手册 | 已启用 |
1.6 法规参考
| 法规 | 参考 | 相关性 |
|---|---|---|
| 网络弹性法案 | 法规 (EU) 2024/2847 | 本手册的主要法律依据 |
| NIS2 指令 | 指令 (EU) 2022/2555 | 运营方的补充报告义务 |
| 授权法案 | Art. 7, 8, 14(9) CRA | 技术规范(预计2026/2027年) |
| ENISA 统一报告平台 | Art. 14 CRA | 漏洞报告的中央平台 |
| ISO/IEC 29147:2018 | 漏洞披露 | 协调漏洞披露的参考标准 |
| ISO/IEC 30111:2019 | 漏洞处理 | 漏洞处理的参考标准 |
| CycloneDX v1.5+ | OWASP 标准 | SBOM 格式 |
| NIST SP 800-161r1 | C-SCRM | 供应链风险管理最佳实践 |
| IEC 62443 | 工业网络安全 | 工业控制系统的参考 |
1.7 术语和定义
| 术语 | 定义 | CRA 参考 |
|---|---|---|
| 含数字元素的产品 (Product with digital elements) | 软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件 | Art. 3(1) |
| 制造商 (Manufacturer) | 开发或已开发产品并以自己的名义或商标进行市场销售的自然人或法人 | Art. 3(13) |
| 软件物料清单 (Software Bill of Materials, SBOM) | 产品中包含的组件及其依赖关系的正式、机器可读记录 | Art. 3(39) |
| 被积极利用的漏洞 (Actively exploited vulnerability) | 有可靠证据表明恶意行为者在未经系统所有者许可的情况下利用的漏洞 | Art. 3(42) |
| 严重事件 (Severe incident) | 对产品安全产生重大影响的事件,包括供应链完整性的破坏 | Art. 3(43) |
| 支持期 (Support period) | 制造商有义务确保漏洞处理的期间,至少5年 | Art. 13(8) |
| 合格评定 (Conformity assessment) | 验证是否满足基本要求的程序 | Art. 3(30) |
| CE 标志 (CE marking) | 制造商声明产品符合适用欧盟要求的标志 | Art. 29 |
| 授权代表 (Authorised representative) | 在欧盟境内设立的、经制造商书面授权代表其执行特定任务的自然人或法人 | Art. 3(15), Art. 16 |