一、引言欧盟《网络弹性法案》CRAEU 2024/2847已于 2024 年 12 月生效2026 年 9 月漏洞报告义务启动2027 年 12 月全面强制执行。所有带数字元素产品PDEs必须完成 CRA 合规、加贴 CE 标志才能进入欧盟市场。本文从产品判定→风险分级→合规准备→合格评定→技术文件→CE 加贴→上市后义务拆解 CRA 认证全流程帮企业一次性打通从自评到上市的所有关键节点少走弯路、规避合规风险。二、第一步产品适用性判定先确认是否受 CRA 管辖在启动合规前必须先明确产品是否属于 CRA 管控范围避免无效投入。判定标准PDEs 定义满足以下任一条件即纳入 CRA包含固件、嵌入式软件、操作系统、应用程序具备数据连接能力有线 / 无线、直接 / 间接联网用于欧盟市场销售、分销或投入使用。常见豁免无需 CRA 认证纯硬件无数字模块如普通机械开关仅用于个人非商业用途的开源软件医疗设备MDR、航空设备EASA等已有专项法规的产品。三、第二步产品风险分级决定认证路径与成本CRA 按风险从低到高分为默认类、重要类I/II、关键类分级直接决定是否需要第三方公告机构Notified Body介入。分级标准与认证路径表格风险等级 典型产品 认证模式 第三方介入默认类 普通智能家居、无线耳机、消费电子 模块 A自评 ❌ 自我声明重要 I 类 路由器、普通交换机、密码管理器 模块 A用协调标准/BC ⚠️ 可选第三方重要 II 类 工业网关、车载中控、安防摄像头 模块 BC/H ✅ 必须第三方关键类 防火墙、安全芯片、能源工控 PLC 模块 H/EUCC 认证 ✅ 必须第三方分级实操建议边界模糊时保守定级按高风险准备避免后期返工对照 CRA 附件 II/III 逐一核对重点关注工业、车载、能源、医疗等高敏感品类。四、第三步合规体系搭建与技术准备核心整改环节无论自评还是第三方认证必须先完成产品安全整改与体系搭建满足 CRA 基本要求Annex I。核心技术整改必做安全设计数据加密、权限控制、漏洞防护、防篡改机制漏洞管理建立 7×24 小时监控24 小时高危预警、72 小时上报 ENISA 平台SBOM 编制生成软件物料清单SPDX/CycloneDX 格式含所有开源 / 闭源组件版本、漏洞信息VEX 文件漏洞说明文件明确已修复 / 未修复漏洞及风险缓解措施。合规体系搭建必做制定安全维护计划承诺 5 年以上安全更新产品寿命短于 5 年除外建立文档管控流程技术文件、测试报告、漏洞记录留存 10 年员工培训覆盖漏洞响应、文档编写、合规自查全流程。五、第四步合格评定认证核心分自评 / 第三方CRA 合格评定分模块 A自评、模块 BC型式检验 生产管控、模块 H全质量保证按风险等级选择对应路径。模块 A自我声明默认类 / 重要 I 类适用适用默认类产品如智能灯泡、无线鼠标、重要 I 类且采用欧盟协调标准的产品流程完成产品安全测试与风险评估编制完整技术文件含 SBOM、VEX、测试报告签署欧盟符合性声明DoC自行加贴 CE 标志无需公告机构介入。模块 BC第三方型式检验 生产管控重要 II 类 / 关键类适用重要 II 类、关键类产品工业设备、车载电子、安全设备流程选择欧盟公告机构2026 年 6 月 11 日后正式备案生效模块 B型式检验公告机构审核技术文件、测试产品合格后发EU 型式检验证书模块 C生产管控企业确保量产产品与型式一致保留生产记录签署 DoC加贴 CE 标志 公告机构编号。模块 H全质量保证关键类 / 高风险适用关键类产品防火墙、安全芯片、能源工控流程公告机构审核企业设计、生产、测试、售后全流程质量体系通过后持续监督相当于 “全流程认证”。六、第五步技术文件Technical File编制认证灵魂技术文件是 CRA 合规的核心证据无论自评还是第三方认证必须完整、规范、可追溯留存 10 年。技术文件核心清单产品描述功能、架构、硬件 / 软件版本、预期用途风险评估报告网络安全风险识别、分析、缓解措施SBOMVEX 文件软件组件清单、漏洞说明安全测试报告渗透测试、漏洞扫描、加密验证报告安全维护计划更新周期、漏洞响应流程、停服公示方案符合性声明DoC制造商信息、产品标识、合规标准清单。编制要点格式统一采用欧盟认可模板内容全英文数据真实测试报告需由具备资质实验室出具漏洞记录不可篡改版本可控每版产品对应独立技术文件变更后及时更新。七、第六步CE 标志加贴与上市最后准入环节CE 加贴规则位置产品本体、铭牌、包装、说明书清晰可见样式符合欧盟标准高度≥5mm不可涂改、遮挡标识第三方认证产品需加贴公告机构编号如 CE 1234。上市前核查确认技术文件已归档、DoC 已签署产品与技术文件一致无未经批准的设计变更漏洞监控系统已上线可随时响应欧盟抽查。八、第七步上市后持续合规长效义务不可忽视CRA 合规不是一次性认证上市后需履行全生命周期义务直至产品退市后 3 年。核心上市后义务漏洞响应24 小时上报高危漏洞72 小时提交整改方案同步用户与 ENISA 平台安全更新维护期内持续发布安全补丁10 年内可获取记录留存漏洞报告、更新记录、用户反馈留存 10 年配合抽查欧盟监管机构可随时核查技术文件、测试记录、漏洞日志违规直接下架 罚款。违规处罚2026 年 9 月起执行未加贴 CE最高罚全球营业额 2.5%漏洞瞒报 / 延迟上报最高 1500 万欧元技术文件造假产品召回 市场禁入 刑事责任。九、全流程时间规划2026–2027 关键节点2026 年 6 月前完成产品分级、合规体系搭建、技术整改2026 年 6–8 月第三方产品选择公告机构、启动型式检验自评产品完成技术文件编制2026 年 9 月漏洞上报义务生效上线监控系统2026 年 10–12 月获取第三方证书、签署 DoC、加贴 CE2027 年 12 月全面强制执行无合规产品禁止销售。十、总结CRA 认证核心逻辑先判定→再分级→强整改→严评定→全文档→长效合规。对出海企业而言2026 年是合规准备黄金期提前完成技术整改、体系搭建、认证流程才能避开 2027 年执法高峰的合规风险稳固欧盟市场份额。建议企业立即行动先做产品分级自查再按风险等级匹配认证路径同步搭建漏洞管理与文档管控体系确保 2026 年 9 月前完成所有准备工作从容应对 CRA 全面落地。