CRA《网络弹性法案》倒计时，出海欧盟厂商如何满足法案合规？

随着欧盟《网络弹性法案》（Cyber Resilience Act，简称CRA）正式生效日期临近，全球范围内具有数字元素的产品制造商正面临全新的合规挑战。CRA法案对产品和制造商提出了严格要求，企业需在限定时间内完成产品的合格评定程序，方可进入欧盟市场。

CRA法案是欧盟首部针对“具有数字元素产品”的网络安全法规，将于2027年12月11日起强制实施。

根据法案要求，只要在欧盟市场提供具有数字元素的硬件或软件产品，均需满足CRA法案附件I中列出的基本网络安全要求，包括但不限于：欧盟符合性申明、技术文档、无已知可利用漏洞、提供及时安全更新、实施协调漏洞披露政策等。对于被列为“重要”或“关键”类别的产品，还需接受更严格的第三方合格评定程序。

法案要求，企业面临哪些现实难题？

据行业观察，国内制造企业在应对CRA合规过程中普遍面临四大核心难题：一是对法规条款理解不透彻，容易遗漏细节；二是企业不确定自身产品该如何满足 CRA 法案要求，缺乏可操作的落地方案；三是技术文档撰写门槛高，CRA法案对技术文档、符合性声明等提出了极高的专业要求，自行准备难以达到审核机构认可的标准；四是项目统筹与多方沟通耗时耗力，企业往往难于应对。

CRA法案附件VII对技术文档的内容、格式、详细程度都有明确规定，需要涵盖产品设计开发描述、网络安全风险评估报告、漏洞处理流程规范、测试报告、软件物料清单等数十项内容，每一项都需要严格按照法案要求编制。

CRA法案合规解决方案

对于企业在国际市场的合规痛点，一些第三方合规服务机构开始提供针对性的解决方案，来帮助企业更高效通过CRA法案。例如，浙江望安科技有限公司推出的“一站式安全合规服务”，采取的就是全权负责的方式。据公司介绍，企业只需要配合提供产品的基础资料，其余的所有合规流程均由望安科技负责执行，包括合规路径选择、技术文档撰写、漏洞处理机制建立、认证机构沟通等。

“我们为每个项目委派1对1专业的项目经理全程统筹，并配备具备安全技术背景的团队全权负责。”望安科技相关负责人表示，“企业不需要自己组建合规团队，也不用为技术文档和产品反复修改头疼，可以专注于产品研发与迭代。”