如果你擁有機器或設備內部的連接方案，CRA 真正意味著什么

大多數工業(yè)設備和機器制造商可能還尚未意識到，《 ** 網絡彈性法案》（CRA）** 已從根本上改變了“制造聯(lián)網工業(yè)設備”這件事的內涵。

這并非因為網絡安全是新話題，而是因為CRA正式化了工業(yè)設備中嵌入的所有“數字元素”的長期責任，并為聯(lián)網工業(yè)設備的CRA合規(guī)性設定了明確預期。作為歐盟法規(guī)，CRA適用于所有在歐洲市場上銷售數字元素的產品，無論其在哪個國家生產1。

現(xiàn)實很殘酷： 如果您開發(fā)、擁有或貼牌設備里的連接方案，CRA要求您全權負責證明這套方案在整個生命周期內是****安全的、可更新的，并且得到了妥善維護。

本文將解釋這種責任在實踐中是如何體現(xiàn)的，也回答了許多制造商都在關注的問題： 對于構建自主連接方案的企業(yè)來說，CRA 究竟意味著什么？

*圖1 *CRA 責任鏈：誰擁有或貼牌連接方案，誰就承擔 CRA 法律責任

1. 連接方案現(xiàn)在成為了產品的“攻擊面”

CRA適用于“帶有數字元素的產品”，即具有或支持直接或間接網絡連接的硬件和軟件。這包括嵌入式通信接口、協(xié)議棧、無線模塊、網關或任何定制開發(fā)的連接解決方案。

新變化不在于連接會帶來安全問題，而在于CRA把連接方案當成了產品里一個受監(jiān)管的部分——它必須經過安全設計、有文檔記錄、并且長期維護。

在實踐中，這意味著：

• 設備里的通信組件不再只是輔助功能。
• 現(xiàn)在，它被視為產品攻擊面的一部分，是必須在整個生命周期內履行特定安全義務的潛在切入點。
• 設備制造商和機器制造商必須能夠證明：他們擁有的或貼牌的連接方案符合 CRA 要求。

制造商不容忽視的 CRA 時間線

盡管業(yè)內偶爾傳出日期可能變動的傳聞，但 CRA 的截止期限是明確的：

*圖2 *CRA 關鍵時間點

• 2026年9月：報告義務開始生效，但許多公司尚未開展相關準備工作。
• 2027年12月11日：所有投放歐盟市場的帶數字元素的產品必須全面符合 CRA 合規(guī)要求。

配套的協(xié)調標準還在最后定稿中，其工作仍在推進。目前沒有強烈跡象表明2027年的截止日期會推遲。

*圖3 *支撐 CRA 合規(guī)性的協(xié)調標準及支持性文件的當前開發(fā)狀態(tài)

2. 《網絡彈性法案》對制造商的實際要求

我們最常聽到的一個問題是： CRA為設備制造商和機器制造商帶來了哪些安全義務？

簡而言之，CRA遠不止于提升網絡安全。它引入了強制性的安全和生命周期要求 ，只要設備在市場上銷售（通常長達 10-15 年甚至更久），這些要求就持續(xù)有效。

*圖4 CRA安全義務 *

這些義務是正式的、基于證據的，并需接受評估2。CRA要求：

正式的安全開發(fā)生命周期

制造商必須證明其產品中的連接方案是在結構化、可重復且可審計的安全流程下開發(fā)和維護的。非正式或臨時的做法已不再合規(guī)。

漏洞處理與披露

CRA要求建立持續(xù)運行的流程：

• 監(jiān)控漏洞
• 影響評估
• 發(fā)布補丁
• 溝通披露信息
• 保留詳細記錄

這項責任并不會在產品上市后結束，而是要貫穿設備的整個使用周期。

軟件材料清單（SBOM）

制造商必須記錄：

• 每一個軟件組件
• 依賴關系
• 開源庫
• 版本歷史

如果您的連接協(xié)議棧里有很多老代碼或繼承的代碼，這一點將極具挑戰(zhàn)性。

可修補性與安全更新

如果您的設備預計運行超過十年，您必須具備在整個周期內交付安全更新的技術能力和組織承諾。

文檔與可追溯性

CRA要求提供可維持維護的憑證，包括：

• 設計文檔
• 測試報告
• 安全架構描述
• 更新機制
• 事件處理記錄

對于許多公司而言，其內部開發(fā)的連接協(xié)議棧根本不存在這類文檔。

如果不合規(guī)，后果是什么？

CRA 引入了嚴厲的懲罰措施：

• 罰款最高可達1500萬歐元，或占全球年收入的2.5%
• 產品可能被禁止在歐盟市場銷售
• 最終客戶和系統(tǒng)集成商可能會拒絕采購不符合 CRA 標準的組件。

CRA 合規(guī)性不再僅僅是監(jiān)管要求，它正迅速演變?yōu)榭蛻舻挠残圆少徶笜恕?/p>

圖5 違規(guī)后果

3. 為什么“我們已經做了安全防護”往往還不夠？

一個常見的誤區(qū)是認為現(xiàn)有的內部網絡安全實踐就能滿足 CRA 的預期。許多團隊還會問：CRA 如何影響多年前構建的內部連接方案？

實際上，非正式或臨時的安全措施是遠遠不夠的，因為CRA要求：

• 證據， 而非意圖。
• 正式流程， 而非最佳實踐
• 可重復性， 而非一次性改進
• 生命周期責任， 而非僅針對發(fā)布日期的合規(guī)。

許多制造商高估了自身的合規(guī)現(xiàn)狀，現(xiàn)有的技術體系往往難以企及 CRA 的嚴苛標準。特別是當設備依賴老舊協(xié)議棧、缺乏維護的開源組件或‘無證可查’的集成方案時，合規(guī)缺口將尤為巨大。

4. 典型盲區(qū)

基于協(xié)助制造商集成通信技術數十年的經驗，HMS Networks 發(fā)現(xiàn)企業(yè)在準備 CRA 合規(guī)時通常存在兩大盲區(qū)：自主連接方案的盲區(qū)以及第三方供應商相關的盲區(qū)。

這兩方面在CRA的長期安全和生命周期要求下，都會帶來巨大的合規(guī)挑戰(zhàn)。

4.1 自主連接方案的盲區(qū)

遺留協(xié)議棧
許多棧是多年前開發(fā)的，缺乏現(xiàn)代安全控制，且難以升級到現(xiàn)有標準。

未維護的開源依賴
連接棧通常包含開源組件，現(xiàn)在必須對其進行記錄、監(jiān)控和打補丁。

缺乏正式的漏洞響應流程
團隊通常是“見招拆招”，但 CRA 要求文檔化、持續(xù)化的流程。

長期維護能力有限
內部方案往往依賴特定個人或老舊代碼庫，無法滿足 10-15 年的更新義務。

這些認知盲區(qū)的存在事出有因。在傳統(tǒng)的設備開發(fā)邏輯中，通信連接通常被視為一項功能指標，而非工業(yè)網絡安全的范疇。

4.2 供應商相關的盲區(qū)

根據 CRA 的要求，產品所使用的第三方硬件和軟件也必須符合安全規(guī)范。許多廠商對此預估不足，而這恰恰可能是 CRA 認證過程中最具挑戰(zhàn)性的環(huán)節(jié)。

硬件依賴

適用于所有會影響產品安全的硬件組件，包括微控制器（MCU）和安全元件。目前，許多老舊組件正被歸入“備件生命周期”，從而免于CRA約束。但一旦發(fā)生這種情況，原本由供應商承擔的安全義務將全部轉嫁到設備制造商身上。

制造商將越來越需要從硬件供應商那里拿到 CRA合規(guī)聲明 。

軟件依賴關系
操作系統(tǒng)、協(xié)議棧和嵌入式庫必須擁有 CRA 合規(guī)聲明。如果沒有，制造商必須負責監(jiān)控其漏洞、發(fā)布補丁，即使沒有源代碼也需承擔此責。

為什么供應商的重要性達到了前所未有的高度？
第三方軟硬件可能成為CRA合規(guī)的最大障礙。即使設備制造商自己的規(guī)范符合要求，供應商的不合規(guī)組件也可能阻礙合規(guī)。

圖6 與供應商相關的CRA盲區(qū)：如果第三方硬件或軟件拿不出合規(guī)聲明，那么安全、更新和合規(guī)的責任就全部轉移到制造商身上。

5. 結論及后續(xù)

如果您想知道CRA對您長期的連接方案責任意味著什么，答案是：它 正式規(guī)定了安全、維護和文檔義務 ，設備制造商和機器制造商無法規(guī)避。

最終，每個制造商都必須回答一個關鍵的戰(zhàn)略問題：
誰負責你聯(lián)網設備的CRA合規(guī)，是你自己還是你的供應商？

CRA迫使制造商重新思考連接方案這件事。它不再只是“讓設備能上網”，而是要擁有并證明長期的安全、文檔和生命周期義務。

這引出了下一個問題：
你真的想扛起自己開發(fā)和貼牌連接方案所帶來的所有安全、維護和合規(guī)責任嗎？

我們將在下一篇文章《 為何CRA痛苦但必要 》中進一步探討，探討隱藏成本、組織負擔，以及為何這種轉變最終有利于工業(yè)生態(tài)系統(tǒng)。

CRA資源與連接解決方案

無論您是在更新現(xiàn)有設備，還是設計新產品，正確的連接策略都是CRA合規(guī)的關鍵。了解更多關于《網絡彈性法案》的信息，并看看Anybus網關和嵌入式解決方案如何幫您構建安全、可維護、面向未來的設備。

[了解更多關于CRA的信息]

[Anybus 網關]

[Anybus 嵌入式解決方案]

審核編輯 黃宇