欧盟《网络弹性法案》即将实施,出海企业的挑战与应对
日期:2025-10-30
引言
为有效应对全球数字产品的网络安全风险,欧盟于2024年11月颁布《网络弹性法案》(Cyber Resilience Act,以下简称“CRA”)。[1]该法案对进入欧盟市场的任何具有数字组件的软硬件产品以及其远程数据处理解决方案(以下称“数字元素产品”)制订了严格的网络安全标准,明确制造商应在整个产品生命周期对数字元素产品的网络安全风险承担责任,并在此基础上建立了包括漏洞报告和修复机制、开展合格评定程序、提供技术文档、加贴软件CE标志等内容的多维度网络安全治理框架。CRA不仅会改变数字元素产品进入欧盟市场的准入规则,更将对全球数字元素产品市场合规监管产生深远影响,对国内企业出海带来新的挑战。
一、欧盟《网络弹性法案》概览
(一)生效及实施时间
CRA全称为《欧洲议会和理事会关于带有数字元素产品横向网络安全要求的条例》,简称《网络弹性法案》。该法案于2024年11月20日公布,并于2024年12月11日生效。考虑到不同市场主体的合规难度和完成周期,该法案设置了差异化的分阶段实施时间表,其中:网络安全评估机构的通知义务将于2026年6月11日起开始实施,制造商的漏洞通报义务将于2026年9月11日开始实施,网络安全要求及其它义务将于2027年12月11日起全面实施。
(二)适用范围
CRA所规制的对象为“具有数字元素的产品”,涵盖传统软件、硬件设备以及嵌入式系统、工业控制装置、联网终端和移动应用等广泛领域。除了汽车、医疗设备、航空器材等已出台专门安全法规的领域外,CRA适用于任何具备数字组件的软硬件产品。只要相关产品投放至欧盟市场并具备联网能力,无论直接或间接接入网络,均需满足CRA所设定的合规要求。这意味着,包括传统计算机软件、手机APP以及存在联网等数字化功能的硬件产品,如手机、智能家电、智能玩具等均被纳入CRA的监管范畴。
(三)网络安全义务内容
CRA通过一系列的制度设计,详细规定了数字元素产品市场参与主体的网络安全合规义务,主要包括:
1、基本网络安全要求:在设计、开发和生产具有数字元素的产品时,根据该产品的风险履行相应的网络安全要求,确保产品投放市场时没有已知可利用漏洞,并确保在至少五年的支持期(若产品预计使用期限少于5年,支持期为产品预计使用期限)按照基本网络安全要求有效处理该产品及组件的漏洞。
2、建立漏洞报告机制:在发现数字元素产品中的组件存在漏洞时,应当向制造和维护该组件的个人或实体报告,并按照CRA要求处理和修复该漏洞。在其意识到漏洞被主动利用的指定期限内,向CRA规定的机构和平台通报该漏洞或安全事件。
3、 提供合规声明及技术文档:制造商还应当提供欧盟符合性声明,说明该产品符合欧盟相关标准、其它通用规范或网络安全认证标准,并加贴CE标志。提供包含数字元素产品总体描述、设计开发必要信息、漏洞处理程序必要信息、软件物料清单(SBOM)的技术文档。
(四)网络安全义务主体
1、制造商:根据CRA的规定,制造商是履行网络安全合规要求的实际义务主体。制造商应在产品投放市场前完成全面的网络安全风险评估,提供相关技术文档,并建立漏洞及安全事件报告机制。在整个产品生命周期内持续提供安全支持,包括监测安全漏洞、定期发布安全更新。
2、进口商:进口商的职责在于确保制造商在产品投放欧盟市场前已完成前述合规流程,其在履行尽职调查义务时,应核查制造商是否已执行合格评定并加贴CE标识。
3、经销商:经销商主要承担分销环节的合规审查义务,其应在销售前确认产品具备CE标识,制造商与进口商已履行法定程序。
(五)处罚机制与力度
为确保各市场主体主动、严格履行法案的各项网络安全义务,CRA制定了严厉的行政处罚体系。若违反法案第13条基本网络安全义务或第14条规定漏洞报告义务的规定,将面临最高1500万欧元或全球年度营业额2.5%的罚款(以较高者为准);若违反其他合规义务的规定,将面临最高1000万欧元或全球年度营业额2%的罚款;若提供虚假、误导性或不完整信息,将面临500万欧元或年营业额1%的行政处罚。在某些情况下,欧盟成员国当局可以要求厂商从欧盟市场召回或撤出不合规产品。
总体而言,该法案不仅要求制造商在产品设计、开发、投放市场前就完成全面的风险评估,还在使用阶段施加持续的漏洞监测和通报义务。
二、CRA对我国出海企业的影响
根据CRA的规定,制造商是数字元素产品网络安全义务的最主要责任主体。中国是全球最大的制造业国家,该法案将给已经进入或者准备进入欧盟市场销售数字元素产品的出海企业带来广泛而深刻的影响。具体表现在:
(一)网络安全义务提升,合规成本上升
CRA确立了高标准的网络安全合规和漏洞修复义务,该义务覆盖数字元素产品从设计、开发、销售、维护的全生命周期各阶段,提高了数字元素产品进入欧盟市场的安全合规门槛。为了满足 CRA 的网络安全和漏洞管理要求,数字元素产品制造商需要购买相应的网络安全治理工具,雇佣更多的开发、安全和合规人员,聘请相应的评估中介机构或相关领域专家,合规成本显著增加。
(二)法律责任扩大
由于在软件和互联网等新兴产业全面落后于美国和中国,欧盟在该领域的立法政策呈现出对产品提供方加强监管,对消费者加大保护力度的显著趋势。与2016年颁布的《个人数据保护条例》GDPR类似,CRA突破了以往“造成损害,承担赔偿”的事后民事赔偿机制,引入“不合规即可处罚”的事前行政监管模式,要求制造商提升整个数字元素产品软件系统的安全性。只要数字元素产品企业未按CRA的规定履行网络安全义务,即便该软件未对消费者造成实际损害,也可能被欧洲当地监管部门处以高额罚款。需要说明的是,该罚款金额的计算基数是经营者上一年度的全球营业额,而非欧盟或当地某个国家的营业额。
(三)软件供应链管理要求升级
数字元素产品的开发和制造过程,高度依赖软硬件产业链的国际分工,不可避免会使用第三方开发的软件或组件。根据CRA的规定,在产品开发过程中,制造商在集成第三方组件时(含开源软件)必须尽到应有的谨慎义务,确保这些组件不会危及产品的网络安全;如发现漏洞时,应当按照CRA规定的漏洞处理要求,及时采取措施消除该漏洞。如由于第三方软件或组件的原因,导致数字元素产品未达到CRA的安全合规要求,制造商将承担第一责任。因此数字元素产品的制造商,应当在公司内部建立有效的网络安全管理机制,还应当要求、指导或监督第三方供应商构建符合CRA要求的管理制度和流程。
(四)使用开源软件的注意义务加重
鉴于开源软件在数字元素产品中被广泛使用,但其开发运营模式与商业软件存在显著区别,CRA对开源软件管理者的义务作出特别规定。CRA一方面豁免了开源软件开发者、贡献者、管理者的网络安全基本义务,另一方面要求集成了开源软件的产品制造商,对开源软件的安全风险承担近乎严苛的合规义务。根据CRA的规定,在开发过程中集成开源软件、用于商业经营的数字元素产品受CRA法案的约束。制造商在集成开源软件时应当履行尽职调查义务,确保开源软件不会危及产品的网络安全。
与商业主体开发的第三方软件相比,开源软件的网络安全面临更大的挑战。商业软件通常由上游供应商定期提供技术维护和安全更新,其安全管理机制相对成熟。而开源软件大多依赖社区驱动的非集中开发模式,缺乏统一维护责任主体和定期漏洞修复机制,面临的网络安全风险更高。此外,开源社区普遍遵从“开放源代码,不承担责任”的运行机制,开源协议中往往包含无担保和免责条款:因使用开源软件造成的法律责任,由使用者(即制造商)自行承担法律责任,使用者无权向开源软件开发者、贡献者或管理者主张赔偿。因此,数字元素产品制造商在集成开源软件制造产品的过程中,应当履行更高的注意义务。
三、出海企业应对CRA的建议
欧洲市场是中国智能硬件、物联网等数字元素产品出口的主要市场之一,CRA的出台无疑对国内企业出海欧洲市场带来新的变数。如何在欧盟软件网络安全合规监管趋严的背景下,维持欧洲市场业务的稳定性,是国内出海企业必须面对的重大考验。笔者建议出海企业积极采取措施,以应对CRA实施对其欧洲市场业务造成的影响,具体措施包括:
(一)利用CRA生效过渡期主动评估合规差距
CRA的实施将显著提高欧洲市场的网络安全准入门槛。2024年12月法案生效时,多家日本企业即着手进行差距分析,评估哪些方面未能满足欧盟的要求。东芝公司高级经理表示,仅了解法案内容和进行差距分析就花了大约六个月的时间,随着CRA细节的确定,后续还需进一步调整策略。[2]
CRA主要义务条款将于2026至2027年分阶段实施,出海企业应充分利用法案实施的过渡期,详细解读CRA网络安全义务的等级分类、适用规范、中小企业放宽要求、豁免范围等具体条款,确认企业自身应当适用的网络安全标准,并梳理企业当前已有的软件安全机制,进行合规差距分析、完善安全机制,组建产品安全事件响应团队,必要时启动安全认证计划。
(二)加强软件供应链的合规管理
CRA明确要求制造商对其数字元素产品中集成的第三方组件承担网络安全和漏洞处理的法律责任,这对出海企业的软件供应链管理能力提出了巨大挑战。出海企业应当履行“尽职调查”的基本义务,对所使用的第三方组件(含开源软件)进行技术、安全和法律多维度评估,确保其来源清晰、版本可控、许可证合法且可持续维护。企业应当建立软件供应链审查机制,要求第三方组件开发商提供机器可读的标准SBOM,清晰记录并动态监控每一个组件在产品全生命周期中的状况,避免因信息缺失、未及时披露和修复漏洞而被欧盟监管机构追责。
此外,出海企业还应当在《软件许可合同》中约定,软件供应商应当对其提供的软件履行持续监测安全漏洞并进行修复的义务,如因软件存在安全漏洞风险给被许可方(即制造商)造成损失,软件供应商承担全部赔偿责任。根据CRA的规定,由于第三方组件未符合网络安全要求导致制造商被处罚的,处罚金额可高达1500万欧元或者制造商全球营业额的2.5%,这个数额远远超出企业购买软件许可的费用。部分软件供应商可能利用其强势地位,在《软件许可合同》中约定“软件供应商对被许可方(即制造商)造成损失的赔偿限额为软件许可费用”。此种情况下,制造商可能因第三方软件存在安全漏洞被欧盟监管机构处以巨额罚款,而仅从软件供应商获得极少数额的赔偿。因此,出海企业应当或者全力争取,在《软件许可合同》中约定,如因供应商提供软件存在安全漏洞风险,导致企业被欧盟监管机构处罚的,软件供应商承担全部赔偿责任。
(三)构建开源软件合规治理体系
出海企业应当构建系统化的开源合规治理体系,以应对CRA对企业使用开源软件的高标准合规要求。具体措施包括:
(1)通过设立开源项目管理专门组织,如开源项目管理办公室或虚拟小组,统一制定开源软件的安全风险评估与管理规范,并将开源项目是否定期更新维护、提供软件物料清单和技术文档、是否存在安全管理协作流程作为选择和使用开源软件的重要参考因素。
(2)建立开源软件全生命周期安全管理流程:引入阶段应将安全漏洞风险作为重要评估因素,使用阶段应建立开源软件使用台账,完整记录各项目的使用情况,维护阶段和退出阶段应提示软件研发团队及时对所使用的开源软件进行修复和替换。
(3)引入或者集成第三方代码扫描工具,在软件研发过程中定期扫描所使用开源软件的代码,识别所使用开源软件的安全漏洞信息。如发现安全漏洞时,应当及时通知软件研发人员评估安全风险,采取相应的修复措施和应对方案。
(四)积极参与行业研讨,参考社区最佳实践
欧盟《网络弹性法案》是一项具有深远影响力的立法,它不仅重新定义了软件和硬件产品的网络安全合规标准,更在全球范围内引发了企业合规体系重塑与开源治理模式转型的一系列连锁反应。包括开源基金会及诸多软硬件企业,正在共同探讨应对CRA的策略,构建符合CRA合规性的网络安全流程,并与供应链上下游企业建立深入的合作。如Eclipse等七家开源软件基金会联合宣布了一项倡议,旨在基于开源最佳实践建立安全软件开发的共同规范,构建符合CRA合规性的网络安全流程。[3]开源安全基金会(OpenSSF)与Linux基金会欧洲分会在CRA正式发布后不久联合举办了“开源软件管理者与制造商研讨会”,邀请开源项目的负责人、制造商和政府官员等共同探讨应对CRA的策略,希望基于现有的最佳实践,建立一套与 CRA 相匹配的网络安全标准。[4]Qt Group作为嵌入式图形软件的知名供应商,为其开源框架制定了一系列安全问题处理流程,使其产品符合CRA要求,并支持客户实现产品合规,具体措施包括:设立核心安全团队负责确保遵守安全政策;采用定期代码审查、静态代码分析和模糊测试来防止安全漏洞;提供有关补丁位置和受影响软件版本的完整信息。[5]Wind River作为终端设备和软件的提供商,正在积极协助其客户进行CRA合规差距分析及安全评估,为其客户提供安全开发生命周期标准、漏洞披露指南等相关文档和资料,以供第三方机构进行评估和认证。[6]出海企业应当积极参与行业的交流探讨,关注开源社区的最佳实践,了解软件供应链上下游的网络安全协作机制,结合企业自身实际情况,制定符合CRA标准的网络安全合规流程。
四、结语:CRA是合规挑战,也是市场机会
CRA是一项具有里程碑意义的立法,不仅会改变欧盟市场准入规则,也会对全球数字产品开发与供应链合规管理产生深远影响。短期内,CRA将给企业带来不可小觑的合规成本与监管压力,但从长远来看,CRA有助于企业通过加强网络安全管理和供应链优化,提高产品的竞争力,在全球数字元素产品市场上获得更大的市场机会。面对这一挑战,企业不应视之为负担,而应将其纳入核心战略,作为创新发展的新起点。
[1]《网络弹性法案》,国内也有翻译为《网络韧性法案》或《网络复原力法案》,法案原文详见:https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847
[2] https://weibo.com/6244553417/P3ktZf7zG【日媒:日本科技公司面临欧盟网络弹性法合规压力】
[3] The Open Source Community is Building Cybersecurity Processes for CRA Compliance https://eclipse-foundation.blog/2024/04/02/open-source-community-cra-compliance/
[4] 参见Linux基金会《开源网络安全最佳实践路径》第9页
[5] 参见《博客 | 准备好迎接《欧盟网络弹性法案》(CRA)》,载《Qt软件》微信公众号。
[6] https://www.windriver.com/resource/eu-cyber-resilience-act-faq
业务领域:知识产权、合规与监管、民商事(行政)争议解决
邮箱:zouliangcheng@sundiallawfirm.com
业务领域:知识产权、合规与监管、民商事(行政)争议解决
邮箱:ouyangjunyi@sundiallawfirm.com
