不合格与重大风险 (Art. 22-23)
概述
CRA 区分了形式不合格 (Formal Non-Conformity)(Art. 22)和存在重大网络安全风险的产品 (Products Presenting a Significant Cybersecurity Risk)(Art. 23)。这一区分至关重要:Art. 22 针对行政缺陷(缺少文件、标识不正确),而 Art. 23 则涉及实质性安全问题。两项条款均授权市场监管机构下令采取纠正措施,包括撤回或召回。
法律依据
Art. 22 CRA (EU) 2024/2847: 形式不合格的处理程序——市场监管机构要求经济运营方在规定期限内使产品达到合规状态。
Art. 23 CRA (EU) 2024/2847: 存在重大网络安全风险的产品的处理程序——当基本要求(Annex I)未在实质上得到满足时,主管机构下令采取纠正措施。
Art. 22 -- 形式不合格
市场监管机构在识别到以下形式缺陷时,应要求采取纠正行动:
| 形式缺陷 | 法律依据 | 示例 |
|---|---|---|
| CE 标志未粘贴或粘贴不正确 | Art. 29-30 | 产品或包装上缺少 CE 标志 |
| 欧盟符合性声明未编制或编制不正确 | Art. 28, Annex V | 符合性声明缺失或未包含所有强制性信息 |
| 技术文档不可用或不完整 | Art. 31, Annex VII | 无法在要求的时间内提供文档 |
| 制造商/进口商联系信息缺失 | Art. 10(15), Art. 13(19) | 产品上无名称、地址或联系方式 |
| 任何其他行政要求未满足 | 各条款 | 未标明支持期 |
程序
- 主管机构识别形式不合格
- 通知经济运营方并给予合理期限使产品达到合规状态
- 运营方在期限内修正缺陷
- 如不合格持续: 主管机构下令限制、撤回或召回
注意
形式缺陷可能看似微不足道,但可能导致立即停止分销。完整的文档必须随时可用。
Art. 23 -- 存在重大网络安全风险的产品
当含数字元素的产品存在重大网络安全风险时,适用升级程序:
- 市场监管机构进行基于风险的评估
- 发现重大风险后:下令在规定期限内采取纠正措施
- 制造商必须在期限内采取纠正行动
- 如未采取行动: 限制、撤回或召回产品
Art. 23 尤其适用于 Annex I 基本要求未在实质上得到满足的情况——例如缺少加密、已知漏洞未修补或更新机制不充分。
重大风险
重大网络安全风险可触发立即措施。与形式不合格不同,此处关注的是实际的用户安全。此外还可能依据 Art. 64 处以罚款(最高1500万欧元 / 营业额的2.5%)。
比较:Art. 22 与 Art. 23
| 标准 | Art. 22 -- 形式不合格 | Art. 23 -- 重大网络安全风险 |
|---|---|---|
| 主题 | 行政缺陷(文档、标识) | 实质性安全缺陷(Annex I) |
| 典型触发 | 缺少 CE 标志、不完整的符合性声明 | 未修补的漏洞、缺少加密 |
| 风险评估 | 不要求 | 主管机构进行基于风险的评估 |
| 纠正期限 | 合理期限 | 根据风险紧急程度设定期限 |
| 升级 | 停止分销、撤回 | 停止分销、撤回、召回 |
| 罚款风险 | 第二级(最高1000万欧元 / 2%) | 第一级(最高1500万欧元 / 2.5%) |
BAUER GROUP 的实际措施
检查清单:确保形式合规
- [ ] 所有产品上正确粘贴 CE 标志(CE 标志)
- [ ] 每个产品的欧盟符合性声明已编制且为最新版本(欧盟符合性声明)
- [ ] 技术文档完整且可在10个工作日内提供
- [ ] 产品或包装上有联系方式(名称、地址、电子邮件/URL)
- [ ] 支持期已标明且可公开查阅
主管机构联络的应对程序
| 步骤 | 期限 | 负责人 | 操作 |
|---|---|---|---|
| 1 | 立即 | 接收人 | 将请求转发给 CISO 和法务部门 |
| 2 | 1个工作日 | CISO | 确定不合格类型(形式 vs. 实质) |
| 3 | 3个工作日 | 专业团队 | 确定纠正措施并建立时间表 |
| 4 | 按期限 | 专业团队 | 实施纠正措施 |
| 5 | 实施后 | CISO | 向主管机构提交证据 |
| 6 | 持续 | CISO | 确保所有措施的文档记录 |
升级路径
收到主管机构请求
|
+-- CISO + 法务部门(初步评估,1个工作日)
|
+-- 形式不合格 (Art. 22)?
| +-- 是 --> 专业团队纠正(文件、标识)
| +-- 在期限内向主管机构提交证据
|
+-- 重大风险 (Art. 23)?
+-- 是 --> 升级至高层管理
+-- 立即进行风险评估
+-- 必要时启动安全更新/召回
+-- 如触发 Art. 14 则同步通知 ENISA