1.1 适用范围
1.1.1 适用范围
根据 Art. 2 CRA,本法规适用于在欧盟市场上提供的含数字元素的产品 (Products with Digital Elements),其预期用途或合理可预见用途包含直接或间接的数据连接。
1.1.2 受影响的产品类别
软件产品
| 类别 | 示例 | CRA 相关 |
|---|---|---|
| Web 应用 | API、前端、微服务 | 是 |
| 容器镜像 | 基于 Docker 的服务 | 是 |
| 桌面应用 | .NET WPF/WinForms, MAUI | 是 |
| NPM 包 | 公开发布的库 | 是 |
| NuGet 包 | .NET 库 | 是 |
固件 / 嵌入式
| 类别 | 平台 | CRA 相关 |
|---|---|---|
| ESP32 固件 | ESP-IDF, Arduino | 是 |
| STM32 固件 | HAL, CMSIS | 是 |
| Zephyr RTOS | Zephyr OS | 是 |
| PlatformIO 构建 | 跨平台 | 是 |
基础设施
| 类别 | 示例 | CRA 相关 |
|---|---|---|
| Docker Compose 栈 | 多容器部署 | 是(作为产品的一部分) |
| CI/CD 流水线 | GitHub Actions 工作流 | 否(内部工具) |
1.1.3 豁免(Art. 2(2) CRA)
以下不受 CRA 管辖:
- 非在商业活动过程中提供的开源软件
- SaaS 服务(受 NIS2 管辖,不受 CRA 管辖)——除非远程数据处理是产品的组成部分
- 受行业特定欧盟法规约束的产品(如医疗器械、机动车辆、航空)
1.1.4 过渡条款 / 既有产品保护(Art. 69)
在 11.12.2027 之前投放市场的含数字元素的产品,仅在自该日期起经历实质性修改 (Substantial Modification) 时才受 CRA 要求的约束。因此,既有产品受既有保护(Grandfathering,不在适用范围内),仅在 11.12.2027 当日或之后发生实质性修改时才进入适用范围。
示例: 2026 年发布的固件不在 CRA 适用范围内——直到 2028 年的某次安全更新替换了认证机制,从而构成实质性修改。
何为实质性修改,详见实质性修改。
1.1.5 产品目录
需要行动
对于每个 CRA 相关产品,必须进行单独的分类和记录。请使用 产品描述 模板作为基础。
产品目录按产品逐一维护。每个产品需包含:
- 唯一标识符(产品名称 + 版本)
- CRA 产品类别(标准 / I 类 / II 类 / 关键)
- 支持期(至少5年或预期使用寿命)
- 负责人(产品负责人 / 安全负责人)
- SBOM 参考(当前 SBOM 的链接)
- 符合性声明(欧盟符合性声明 (EU DoC) 的链接)