产品分类
CRA根据网络安全关键程度将数字元素产品分为不同类别。
I类(默认)
不属于II类的数字元素产品。
示例:
- 消费电子产品
- 智能家居设备
- 通用软件
评估: 自我评估或第三方评估
II类(重要)
对网络安全重要的产品。
示例:
- 操作系统
- 网络管理
- 安全软件
- 工业控制
评估: 由公告机构进行合格评定
基本要求
安全设计
产品必须从一开始就设计有适当的安全措施。
漏洞处理
建立识别、记录和处理漏洞的流程。
SBOM
维护记录所有组件和依赖项的软件物料清单。
安全更新
在预期产品生命周期内提供安全更新(至少5年)。
文档
准备技术文档以证明符合基本要求。
实施时间表
2024年第四季度
CRA生效
2025年
报告义务开始
2026年
合格评定要求适用
2027年
需要完全合规