本文档正在积极开发中,尚未最终定稿。
Skip to content

1.1 适用范围

1.1.1 适用范围

根据 Art. 2 CRA,本法规适用于在欧盟市场上提供的含数字元素的产品 (Products with Digital Elements),其预期用途或合理可预见用途包含直接或间接的数据连接。

1.1.2 受影响的产品类别

软件产品

类别示例CRA 相关
Web 应用API、前端、微服务
容器镜像基于 Docker 的服务
桌面应用.NET WPF/WinForms, MAUI
NPM 包公开发布的库
NuGet 包.NET 库

固件 / 嵌入式

类别平台CRA 相关
ESP32 固件ESP-IDF, Arduino
STM32 固件HAL, CMSIS
Zephyr RTOSZephyr OS
PlatformIO 构建跨平台

基础设施

类别示例CRA 相关
Docker Compose 栈多容器部署是(作为产品的一部分)
CI/CD 流水线GitHub Actions 工作流否(内部工具)

1.1.3 豁免(Art. 2(2) CRA)

以下不受 CRA 管辖:

  • 非在商业活动过程中提供的开源软件
  • SaaS 服务(受 NIS2 管辖,不受 CRA 管辖)——除非远程数据处理是产品的组成部分
  • 受行业特定欧盟法规约束的产品(如医疗器械、机动车辆、航空)

1.1.4 过渡条款 / 既有产品保护(Art. 69)

11.12.2027 之前投放市场的含数字元素的产品,仅在自该日期起经历实质性修改 (Substantial Modification) 时才受 CRA 要求的约束。因此,既有产品受既有保护(Grandfathering,不在适用范围内),仅在 11.12.2027 当日或之后发生实质性修改时才进入适用范围。

示例: 2026 年发布的固件不在 CRA 适用范围内——直到 2028 年的某次安全更新替换了认证机制,从而构成实质性修改。

何为实质性修改,详见实质性修改

1.1.5 产品目录

需要行动

对于每个 CRA 相关产品,必须进行单独的分类和记录。请使用 产品描述 模板作为基础。

产品目录按产品逐一维护。每个产品需包含:

  1. 唯一标识符(产品名称 + 版本)
  2. CRA 产品类别(标准 / I 类 / II 类 / 关键)
  3. 支持期(至少5年或预期使用寿命)
  4. 负责人(产品负责人 / 安全负责人)
  5. SBOM 参考(当前 SBOM 的链接)
  6. 符合性声明(欧盟符合性声明 (EU DoC) 的链接)

文档基于 CC BY-NC 4.0 许可 · 代码基于 MIT 许可