CRA 适用性检查
使用此决策树确定网络弹性法案 (CRA) 是否适用于您的产品,以及应遵循的合规路径。
BAUER GROUP 规则
每个包含数字元素的产品在进入欧盟市场前必须完成此评估。 分类决策必须使用产品分类记录进行记录。
决策树
关卡 1:包含数字元素的产品?
┌───────────────────────────────────────────────┐
│ 产品是否包含数字元素? │
│ (软件、固件或具有逻辑数据连接的硬件 │
│ — Art. 3(1) CRA) │
│ │
│ 否 → CRA 不适用 → 停止 │
│ 是 ↓ │
└───────────────────────────────────────────────┘"包含数字元素的产品" 是指任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件(Art. 3(1) CRA)。
关卡 2:豁免条款 (Art. 2(2))
┌───────────────────────────────────────────────┐
│ 是否适用以下任何豁免? │
│ │
│ ☐ 医疗器械 (Reg. 2017/745, 2017/746) │
│ ☐ 机动车辆 (Reg. 2019/2144) │
│ ☐ 航空 (Reg. 2018/1139) │
│ ☐ 船舶设备 (Dir. 2014/90/EU) │
│ ☐ 国家安全 / 军事产品 │
│ ☐ 纯 SaaS(无产品组件) │
│ │
│ 是 → CRA 不适用(行业专项法规适用)→ 停止 │
│ 否 ↓ │
└───────────────────────────────────────────────┘NIS2 协同
纯 SaaS 服务受 NIS2 管辖,而非 CRA — 除非远程数据处理是物理或可安装产品的组成部分。
关卡 3:开源评估 (Art. 18–19)
┌───────────────────────────────────────────────┐
│ 这是开源软件吗? │
│ │
│ 否 → 继续关卡 4 ↓ │
│ 是 → 是否存在商业活动? │
│ (销售、付费支持、付费集成、SaaS 提供) │
│ │
│ 否 → CRA 不适用 → 停止 │
│ 是 → 适用开源管理者义务 │
│ (Art. 18–19) → 继续 ↓ │
└───────────────────────────────────────────────┘注意
"商业活动"的定义范围广泛。仅接受捐赠不构成商业活动。但将软件作为付费产品或服务的一部分提供则构成商业活动。
关卡 4:产品分类 (Art. 6–7, Annex III & IV)
┌───────────────────────────────────────────────┐
│ 产品是否列于 Annex IV? │
│ │
│ 是 → 关键产品 │
│ → 需要 EUCC 认证 │
│ → 参见:合规评估 / EUCC │
│ 否 ↓ │
├───────────────────────────────────────────────┤
│ 产品是否列于 Annex III? │
│ │
│ 是 → 哪个类别? │
│ II 类 → 模块 B+C 或模块 H │
│ → 参见:合规评估 / 模块 B+C │
│ I 类 → 模块 A(含 hEN)或 B+C │
│ → 参见:合规评估 / 模块 A │
│ 否 ↓ │
├───────────────────────────────────────────────┤
│ 标准(默认类别) │
│ → 模块 A(自我评估) │
│ → 参见:合规评估 / 自我评估 │
└───────────────────────────────────────────────┘结果总览
| 结果 | 产品类别 | 合规路径 | 工作量级别 |
|---|---|---|---|
| 标准 | 默认 | 模块 A(自我评估) | 低 |
| I 类 | 重要(I 类) | 模块 A 含 hEN 或 模块 B+C | 中 |
| II 类 | 重要(II 类) | 模块 B+C 或 模块 H | 高 |
| 关键 | 关键(Annex IV) | EUCC 认证 | 非常高 |
预估合规工作量
| 要求 | 一次性 | 年度 | 适用于 |
|---|---|---|---|
| 安全风险评估 (Annex I) | 20–40h | 10–20h | 所有类别 |
| SBOM 生成与维护 | 8–16h | 8–16h | 所有类别 |
| 漏洞处理流程 | 20–40h | 20–40h | 所有类别 |
| 事件报告机制 (Art. 14) | 16–32h | 8–16h | 所有类别 |
| 技术文档 (Annex VII) | 40–80h | 10–20h | 所有类别 |
| CE 标志与 EU DoC | 8–16h | 4–8h | 所有类别 |
| 第三方评估 (模块 B+C) | 40–80h | 20–40h | I 类* / II 类 |
| QMS 建立 (模块 H) | 60–120h | 30–60h | II 类(替代) |
| EUCC 认证流程 | 80–160h | 40–80h | 关键 |
| 标准合计 | 112–224h | 60–120h | |
| I 类合计(含 hEN) | 112–224h | 60–120h | |
| I 类合计(不含 hEN) | 152–304h | 80–160h | |
| II 类合计 | 212–424h | 110–220h | |
| 关键合计 | 252–504h | 130–260h |
* I 类仅在未完全采用协调标准时才需第三方评估。
BAUER GROUP 方案
BAUER GROUP 依靠全自动工具链(Trivy、Grype、CycloneDX、Cosign、GitHub Actions)来最大限度减少标准和 I 类产品的人工工作量。详见工具映射。
后续步骤
根据您的分类结果:
- 记录决策 → 产品分类记录
- 启动合规流程 → 合规评估概述
- 准备文档 → 技术文档
- 建立报告机制 → ENISA 报告流程