1.1 适用范围与产品
适用范围
根据 Art. 2 CRA,本法规适用于在欧盟市场上提供的含数字元素的产品 (Products with Digital Elements),其预期用途或合理可预见用途包含直接或间接的数据连接。
受影响的产品类别
软件产品
| 类别 | 示例 | CRA 相关 |
|---|---|---|
| Web 应用 | API、前端、微服务 | 是 |
| 容器镜像 | 基于 Docker 的服务 | 是 |
| 桌面应用 | .NET WPF/WinForms, MAUI | 是 |
| NPM 包 | 公开发布的库 | 是 |
| NuGet 包 | .NET 库 | 是 |
固件 / 嵌入式
| 类别 | 平台 | CRA 相关 |
|---|---|---|
| ESP32 固件 | ESP-IDF, Arduino | 是 |
| STM32 固件 | HAL, CMSIS | 是 |
| Zephyr RTOS | Zephyr OS | 是 |
| PlatformIO 构建 | 跨平台 | 是 |
基础设施
| 类别 | 示例 | CRA 相关 |
|---|---|---|
| Docker Compose 栈 | 多容器部署 | 是(作为产品的一部分) |
| CI/CD 流水线 | GitHub Actions 工作流 | 否(内部工具) |
豁免(Art. 2(2) CRA)
以下不受 CRA 管辖:
- 非在商业活动过程中提供的开源软件
- SaaS 服务(受 NIS2 管辖,不受 CRA 管辖)——除非远程数据处理是产品的组成部分
- 受行业特定欧盟法规约束的产品(如医疗器械、机动车辆、航空)
产品目录
需要行动
对于每个 CRA 相关产品,必须进行单独的分类和记录。请使用 产品描述 模板作为基础。
产品目录按产品逐一维护。每个产品需包含:
- 唯一标识符(产品名称 + 版本)
- CRA 产品类别(标准 / I 类 / II 类 / 关键)
- 支持期(至少5年或预期使用寿命)
- 负责人(产品负责人 / 安全负责人)
- SBOM 参考(当前 SBOM 的链接)
- 符合性声明(欧盟符合性声明 (EU DoC) 的链接)