1.3 截止日期与时间表
CRA 时间表
网络弹性法案(法规 (EU) 2024/2847)于2024年11月20日在《欧盟官方公报》上发布,并于2024年12月10日生效。
关键截止日期
| 日期 | 要求 | 状态 |
|---|---|---|
| 10.12.2024 | CRA 生效 | 已完成 |
| 11.06.2026 | 必须指定合格评定机构 | 准备中 |
| 11.09.2026 | 报告义务生效 – Art. 14 CRA(被积极利用的漏洞、严重事件) | 需要行动 |
| 11.12.2027 | 全面适用 – 所有要求,包括合格评定、CE 标志、技术文档 | 需要行动 |
自2026年9月11日起的报告义务
自2026年9月11日起,被积极利用的漏洞 (Actively Exploited Vulnerabilities) 必须在24小时内向 ENISA / 有管辖权的国家机构报告。事件响应流程必须在此日期前全面运行。
详细时间表
第一阶段:准备期(至2026年6月11日)
- 创建产品目录并进行 CRA 分类
- 建立和验证 SBOM 流程
- 创建和测试事件响应手册
- 准备 ENISA 通知模板
- 实施 CVE 监控工作流
第二阶段:报告义务期(自2026年9月11日起)
- 报告流程必须可运行
- 使用 ENISA 统一报告平台 (SRP)
- 被积极利用漏洞的24小时早期预警
- 72小时包含详细评估的通知
- 14天最终报告
第三阶段:全面合规期(自2027年12月11日起)
- 符合 Annex VII 的技术文档完整
- 每个产品的欧盟符合性声明(Annex V)
- CE 标志
- 已完成合格评定
- 已声明并公布支持期
- 每个发布的产品均有可用的 SBOM
- 已按照 Annex II 提供用户信息
NIS2 时间表
| 日期 | 要求 |
|---|---|
| 17.10.2024 | 成员国的 NIS2 转化期限 |
| 持续 | 根据 Art. 23 NIS2 对重大安全事件的报告义务 |
内部实施时间表
| 季度 | 措施 |
|---|---|
| 2026年第一季度 | 构建合规文档,验证 SBOM 流程 |
| 2026年第二季度 | 测试事件响应手册,最终确定 ENISA 通知模板 |
| 2026年第三季度 | 报告义务运行就绪(截止日期:11.09.2026) |
| 2026年第四季度 | 开始按产品编制技术文档 |
| 2027年第一至二季度 | 准备合格评定,创建欧盟符合性声明 |
| 2027年第三季度 | 合格评定试运行,准备 CE 标志 |
| 2027年第四季度 | 全面合规(截止日期:11.12.2027) |