艾体宝干货 | "150天"倒计时：CRA合规之路（二）

引言

在上一期中，我们已经对《网络安全弹性法案》（Cyber Resilience Act, CRA）的适用范围以及其对企业运营的整体影响进行了初步解读。随着全球网络安全威胁持续加剧，网络攻击、数据泄露以及数字化转型衍生的新型风险，正不断对企业经营、供应链安全和市场稳定构成挑战。在此背景下，网络安全法规已成为各国加强数字治理、提升网络韧性的重要抓手。欧盟推出的 CRA，正是面向数字产品安全提出系统性要求的重要法规之一。

对于出海企业而言，当前最紧迫的并不是对 CRA 进行原则性理解，而是要重点关注其率先生效的漏洞通报义务。根据欧盟官方信息，CRA 已于 2024 年 12 月 10 日正式生效，主要义务将自 2027 年 12 月 11 日起全面适用，但其中有关报告义务的条款将于 2026 年 9 月 11 日提前开始适用。也就是说，企业距离真正需要落地执行的时间已经十分有限。

一、漏洞通报义务为何成为当前最紧迫的 CRA 要求

CRA 的实施并非所有义务同步落地，而是按照不同章节设置了过渡期。其中，最先对企业形成实质性合规压力的，就是漏洞与安全事件的报告义务。欧盟委员会已明确，自 2026 年 9 月 11 日起，制造商必须履行有关已被利用漏洞和严重安全事件的报告要求。这意味着，在 CRA 全面适用之前，监管层已经率先要求企业具备事件发现、内部研判、对外通报和后续响应的能力。

这一安排体现出 CRA 的监管重点并不仅仅在于产品上市前的合规审查，更在于产品上市后的持续安全治理能力。对于企业而言，漏洞通报义务不再是可选的最佳实践，而是具有法定义务属性的合规要求。若企业在产品已进入欧盟市场的情况下仍未建立起相应机制，将可能在漏洞真实发生时面临被动局面。

二、哪些情形将触发 CRA 的通报义务

根据 CRA 的规定，制造商在两类情形下需要履行相应的通报义务。

第一类，是已被实际利用的漏洞。这意味着企业不能仅停留在“发现漏洞”的层面，而要重点关注漏洞是否已经出现被利用的证据。一旦漏洞已进入实际攻击场景，监管要求便会立即启动。

第二类，是对产品安全造成严重影响的事件。此类事件通常是指已经影响或可能影响产品对可用性、真实性、完整性或保密性的保护能力，或者已经导致、或可能导致恶意代码被引入产品或相关网络与信息系统的情形。由此可见，CRA 所关注的并不仅是传统意义上的“数据泄露事件”，还包括与产品安全机制失效、供应链受污染、更新机制遭篡改等相关的更广泛安全风险。

三、企业需要遵守怎样的报告时限

CRA 对漏洞和严重事件的报告时限要求较为严格，并采取分阶段报告机制。

对于已被实际利用的漏洞，制造商在知悉后应当先提交初步预警，随后补充更完整的信息，并在缓解措施或修复措施可用后提交最终报告。对于严重事件，同样适用分阶段报告要求。欧盟委员会专门发布的 CRA 报告义务说明中已明确，自 2026 年 9 月 11 日起，制造商需要报告“actively exploited vulnerabilities and severe incidents impacting the security of products with digital elements”。这表明 CRA 报告义务强调的是及时性、连续性和动态更新，而并非一次性填报。

从企业管理角度看，这种制度设计将直接倒逼企业建立更成熟的事件响应流程。企业不仅需要快速识别事件本身，还需要在极短时间内完成漏洞验证、影响分析、产品版本定位、处置方案评估和内部审批，从而确保上报信息具备准确性和可执行性。

四、CRA 的报告路径与实施机制有何特点

在实施层面，欧盟已为 CRA 报告义务建立统一的执行框架。欧盟委员会公开信息显示，CRA 的报告将通过 Single Reporting Platform（单一报告平台）开展，相关机制将配合 2026 年 9 月 11 日报告义务的正式适用同步推进。这意味着，企业未来面临的并不是分散、重复的多头报告要求，而是需要围绕统一入口建立内部响应和报送机制。

这一点对出海企业尤为关键。企业若希望在合规层面真正满足 CRA 要求，就必须提前明确内部责任主体、法律实体关系、欧盟市场责任链条以及跨部门协作流程。否则，即使企业已经具备一定的技术处置能力，也可能因为组织流程不清、职责划分不明而错失法定报告时限。

五、漏洞通报义务将对企业运营带来哪些直接影响

从实际运营角度看，CRA 的漏洞通报义务将深刻影响企业的研发、安全、合规与售后管理体系。

首先，企业需要建立更加完善的漏洞发现与升级机制。这不仅包括接收外部漏洞报告、监测安全情报，还包括对内部测试结果、第三方组件漏洞和供应链风险的持续跟踪。其次，企业必须具备更强的产品影响分析能力，能够迅速识别受影响版本、组件依赖关系以及客户部署范围。再次，企业还需要形成规范化的对外通知与沟通机制，确保在满足监管报告要求的同时，能够及时向客户、合作伙伴和市场传递可执行的安全信息。上述要求共同说明，CRA 推动的并不是单一的法律合规，而是围绕产品全生命周期的系统性安全治理。

尤其需要强调的是，企业不应将漏洞通报义务理解为只针对未来新上市产品的要求。根据法规正式文本，Article 14 将自 2026 年 9 月 11 日起适用，而 CRA 其他主要义务则于 2027 年 12 月 11 日起适用。这种时间安排意味着，企业必须尽早将既有在欧盟市场流通的相关产品纳入持续漏洞治理和通报准备范围，而不能等到 2027 年底再统一启动整改。

六、出海企业当前应重点推进哪些准备工作

面对不断临近的时限，企业当前最现实的工作重点，应当是将 CRA 的漏洞通报要求转化为内部可执行机制。

一方面，应尽快梳理欧盟市场涉及的产品类别、法律主体和责任角色，明确哪些产品属于 CRA 适用范围，哪些团队承担漏洞响应和通报责任。另一方面，应建立覆盖漏洞发现、内部升级、影响分析、合规研判、对外报告和客户通知的闭环流程，并配套形成必要的制度文件、记录模板和审批机制。只有将这些准备工作前置完成，企业才能在漏洞或严重事件真正发生时满足 CRA 对报告时效性和准确性的要求。