市场监管 (Art. 52-58)
概述
市场监管 (Market Surveillance) 确保欧盟市场上的产品符合 CRA 要求。法规 (EU) 2019/1020(市场监管条例)适用。制造商必须回应市场监管机构的请求并配合纠正措施。
法律依据
Art. 52 CRA: 法规 (EU) 2019/1020 适用于受 CRA 管辖的含数字元素产品。
Art. 53-58 CRA: 纠正措施、保障条款、形式不合格和欧盟保障条款的特定程序。
主管机构
| 国家 | 主管市场监管机构 |
|---|---|
| 德国 | 联邦网络局 (BNetzA) / BSI |
| 奥地利 | 电信管理局 / RTR |
| 全欧盟 | 由欧盟委员会协调 |
具体的职权分配将由成员国在2026年6月11日前确定。
市场监管机构的权力
信息请求(Art. 52)
主管机构可要求制造商提供:
- 技术文档(Annex VII)——典型期限:10个工作日
- 欧盟符合性声明
- SBOM
- 合格评定的结果
- 源代码或源代码访问权限(在合理情况下)
产品测试
主管机构可以:
- 从市场上购买产品并进行测试
- 下令进行实验室测试和安全评估
- 委托进行渗透测试
- 将 SBOM 与已知漏洞进行比对检查
下令纠正措施
- 向用户发出警告
- 从市场上召回产品
- 停止分销
- 销毁产品(在严重情况下)
程序
Art. 53 -- 国家层面的纠正措施
主管机构确定不合格
|
+-- 通知制造商(附期限)
|
+-- 制造商有[合理期限]进行纠正
| +-- 已纠正 --> 程序结束
| +-- 未纠正 --> 下令措施
| +-- 停止分销
| +-- 召回
| +-- 通知欧盟委员会 + 其他成员国
|
+-- 存在严重危险时 --> 立即措施(无期限)Art. 54 -- 保障条款程序(全欧盟)
当一个成员国采取措施且其他成员国受影响时:
- 成员国通知欧盟委员会
- 委员会审查该措施是否合理
- 如确认:所有成员国采取相同措施
- 如拒绝:成员国必须撤销该措施
Art. 55 -- 合规但存在风险的产品
即使是合规产品也可能存在风险(例如新的威胁态势)。在这种情况下:
- 主管机构可下令临时措施
- 制造商必须提供补救措施(补丁、警告、召回)
- 委员会可通过实施法案
Art. 56 -- 形式不合格
形式违规(无实质性风险):
- 缺少 CE 标志
- CE 标志粘贴不正确
- 欧盟符合性声明未编制或存在缺陷
- 技术文档不可用
制造商必须建立形式合规 如不合规:停止分销或召回
BAUER GROUP 义务
市场监管准备
| 措施 | 描述 | 状态 |
|---|---|---|
| 文档归档 | 所有技术文档可检索(10年) | 本代码仓库 |
| SBOM 归档 | 每个版本的 SBOM 已归档并签名 | SBOM 与签名 |
| 联系人 | 指定的主管机构请求联系人 | 待指定 |
| 欧盟符合性声明 | 所有产品可用 | 按产品 |
| 召回流程 | 产品召回的文档化流程 | 待创建 |
主管机构请求的应对流程
| 步骤 | 期限 | 操作 |
|---|---|---|
| 1 | 立即 | 将请求转发给 CISO 和管理层 |
| 2 | 2个工作日 | 评估请求内容,确定负责团队 |
| 3 | 5个工作日 | 编制所请求的文档 |
| 4 | 10个工作日 | 向主管机构提交文档 |
| 5 | 按期限 | 实施纠正措施(如需要) |
| 6 | 持续 | 记录措施并通知主管机构 |
召回流程
如果下令召回或自愿召回:
- 风险评估 -- 问题的严重性和范围
- 客户通知 -- 通过所有已知渠道
- 提供补丁 -- 发布安全更新
- 通知主管机构 -- 沟通措施和时间表
- 文档记录 -- 无遗漏地记录所有步骤
- 跟进 -- 监控补丁采用情况
另请参见:沟通计划
检查清单:市场监管准备就绪
- [ ] 所有产品的技术文档已更新且可检索
- [ ] 所有产品的欧盟符合性声明可用
- [ ] 所有活跃产品版本的 SBOM 已归档
- [ ] 已指定主管机构请求的联系人
- [ ] 应对流程已记录且已知
- [ ] 召回流程已记录
- [ ] 所有文件均提供英文版(主管机构语言)
- [ ] 源代码访问在技术上可行(用于合理请求)