工控網首頁
>

應用設計

>

CRA正在重新定義工業網絡連接

CRA正在重新定義工業網絡連接

如果你擁有機器或設備內部的連接方案,CRA 真正意味著什么

大多數工業設備和機器制造商可能還尚未意識到,《 網絡彈性法案》(CRA)已從根本上改變了“制造聯網工業設備”這件事的內涵。

這并非因為網絡安全是新話題,而是因為CRA正式化了工業設備中嵌入的所有“數字元素”的長期責任,并為聯網工業設備的CRA合規性設定了明確預期。作為歐盟法規,CRA適用于所有在歐洲市場上銷售數字元素的產品,無論其在哪個國家生產1。

現實很殘酷: 如果您開發、擁有或貼牌設備里的連接方案,CRA要求您全權負責證明這套方案在整個生命周期內是安全的、可更新的,并且得到了妥善維護。

本文將解釋這種責任在實踐中是如何體現的,也回答了許多制造商都在關注的問題: 對于構建自主連接方案的企業來說,CRA 究竟意味著什么?

image.png

圖1  CRA 責任鏈:誰擁有或貼牌連接方案,誰就承擔 CRA 法律責任

1. 連接方案現在成為了產品的“攻擊面”

CRA適用于“帶有數字元素的產品”,即具有或支持直接或間接網絡連接的硬件和軟件。這包括嵌入式通信接口、協議棧、無線模塊、網關或任何定制開發的連接解決方案。

新變化不在于連接會帶來安全問題,而在于CRA把連接方案當成了產品里一個受監管的部分——它必須經過安全設計、有文檔記錄、并且長期維護。

在實踐中,這意味著:

設備里的通信組件不再只是輔助功能。

現在,它被視為產品攻擊面的一部分,是必須在整個生命周期內履行特定安全義務的潛在切入點。

設備制造商和機器制造商必須能夠證明:他們擁有的或貼牌的連接方案符合 CRA 要求。

制造商不容忽視的 CRA 時間線

盡管業內偶爾傳出日期可能變動的傳聞,但 CRA 的截止期限是明確的:

36815bd45d8fca578c88f01f0d40baa4_cra-key-deadlines_sfvrsn=9ed059c4_1.png

圖2  CRA 關鍵時間點

2026年9月:報告義務開始生效,但許多公司尚未開展相關準備工作。

2027年12月11日:所有投放歐盟市場的帶數字元素的產品必須全面符合 CRA 合規要求。

配套的協調標準還在最后定稿中,其工作仍在推進。目前沒有強烈跡象表明2027年的截止日期會推遲。

d33a0dd63925b68c79c1e6f15e0624ab_development-status-cra-conformity_sfvrsn=743218cb_1.png圖3  支撐 CRA 合規性的協調標準及支持性文件的當前開發狀態

 

2. 《網絡彈性法案》對制造商的實際要求

我們最常聽到的一個問題是: CRA為設備制造商和機器制造商帶來了哪些安全義務?

簡而言之,CRA遠不止于提升網絡安全。它引入了強制性的安全和生命周期要求 ,只要設備在市場上銷售(通常長達 10-15 年甚至更久),這些要求就持續有效。

1a96c2925972277b5b4d68354d2bc787_cra-security-obligations_sfvrsn=a1afe7d1_1.png

圖4  CRA安全義務 

這些義務是正式的、基于證據的,并需接受評估2。CRA要求:

正式的安全開發生命周期

制造商必須證明其產品中的連接方案是在結構化、可重復且可審計的安全流程下開發和維護的。非正式或臨時的做法已不再合規。

漏洞處理與披露

CRA要求建立持續運行的流程:

監控漏洞

影響評估

發布補丁

溝通披露信息

保留詳細記錄

這項責任并不會在產品上市后結束,而是要貫穿設備的整個使用周期。

軟件材料清單(SBOM)

制造商必須記錄:

每一個軟件組件

依賴關系

開源庫

版本歷史

如果您的連接協議棧里有很多老代碼或繼承的代碼,這一點將極具挑戰性。

可修補性與安全更新

如果您的設備預計運行超過十年,您必須具備在整個周期內交付安全更新的技術能力和組織承諾。

文檔與可追溯性

CRA要求提供可維持維護的憑證,包括:

設計文檔

測試報告

安全架構描述

更新機制

事件處理記錄

對于許多公司而言,其內部開發的連接協議棧根本不存在這類文檔。

如果不合規,后果是什么?

CRA 引入了嚴厲的懲罰措施:

罰款最高可達1500萬歐元,或占全球年收入的2.5%

產品可能被禁止在歐盟市場銷售

最終客戶和系統集成商可能會拒絕采購不符合 CRA 標準的組件。

CRA 合規性不再僅僅是監管要求,它正迅速演變為客戶的硬性采購指標。

2881d1ddbe76e5f15041ffb8da92d9e1_consequences-of-non-nompliance--2b655566d32ec47bd934ed260c131c961_sfvrsn=56b911b1_1.png

圖5  違規后果

 

3. 為什么“我們已經做了安全防護”往往還不夠?

一個常見的誤區是認為現有的內部網絡安全實踐就能滿足 CRA 的預期。許多團隊還會問:CRA 如何影響多年前構建的內部連接方案?

實際上,非正式或臨時的安全措施是遠遠不夠的,因為CRA要求:

證據,而非意圖。

正式流程,而非最佳實踐

可重復性,而非一次性改進

生命周期責任,而非僅針對發布日期的合規。

許多制造商高估了自身的合規現狀,現有的技術體系往往難以企及 CRA 的嚴苛標準。特別是當設備依賴老舊協議棧、缺乏維護的開源組件或‘無證可查’的集成方案時,合規缺口將尤為巨大。

4. 典型盲區

基于協助制造商集成通信技術數十年的經驗,HMS Networks 發現企業在準備 CRA 合規時通常存在兩大盲區:自主連接方案的盲區以及第三方供應商相關的盲區。

這兩方面在CRA的長期安全和生命周期要求下,都會帶來巨大的合規挑戰。

4.1 自主連接方案的盲區

遺留協議棧

許多棧是多年前開發的,缺乏現代安全控制,且難以升級到現有標準。

未維護的開源依賴

連接棧通常包含開源組件,現在必須對其進行記錄、監控和打補丁。

缺乏正式的漏洞響應流程

團隊通常是“見招拆招”,但 CRA 要求文檔化、持續化的流程。

長期維護能力有限

內部方案往往依賴特定個人或老舊代碼庫,無法滿足 10-15 年的更新義務。

這些認知盲區的存在事出有因。在傳統的設備開發邏輯中,通信連接通常被視為一項功能指標,而非工業網絡安全的范疇。

4.2 供應商相關的盲區

根據 CRA 的要求,產品所使用的第三方硬件和軟件也必須符合安全規范。許多廠商對此預估不足,而這恰恰可能是 CRA 認證過程中最具挑戰性的環節。

硬件依賴

適用于所有會影響產品安全的硬件組件,包括微控制器(MCU)和安全元件。目前,許多老舊組件正被歸入“備件生命周期”,從而免于CRA約束。但一旦發生這種情況,原本由供應商承擔的安全義務將全部轉嫁到設備制造商身上。

制造商將越來越需要從硬件供應商那里拿到CRA合規聲明。

軟件依賴關系

操作系統、協議棧和嵌入式庫必須擁有 CRA 合規聲明。如果沒有,制造商必須負責監控其漏洞、發布補丁,即使沒有源代碼也需承擔此責。

為什么供應商的重要性達到了前所未有的高度?

第三方軟硬件可能成為CRA合規的最大障礙。即使設備制造商自己的規范符合要求,供應商的不合規組件也可能阻礙合規。

image.png

圖6  與供應商相關的CRA盲區:如果第三方硬件或軟件拿不出合規聲明,那么安全、更新和合規的責任就全部轉移到制造商身上。

 

5. 結論及后續

如果您想知道CRA對您長期的連接方案責任意味著什么,答案是:它正式規定了安全、維護和文檔義務,設備制造商和機器制造商無法規避。

最終,每個制造商都必須回答一個關鍵的戰略問題:

誰負責你聯網設備的CRA合規,是你自己還是你的供應商?

CRA迫使制造商重新思考連接方案這件事。它不再只是“讓設備能上網”,而是要擁有并證明長期的安全、文檔和生命周期義務。

這引出了下一個問題:

你真的想扛起自己開發和貼牌連接方案所帶來的所有安全、維護和合規責任嗎?

我們將在下一篇文章《 為何CRA痛苦但必要》中進一步探討,探討隱藏成本、組織負擔,以及為何這種轉變最終有利于工業生態系統。

CRA資源與連接解決方案

無論您是在更新現有設備,還是設計新產品,正確的連接策略都是CRA合規的關鍵。了解更多關于《網絡彈性法案》的信息,并看看Anybus網關和嵌入式解決方案如何幫您構建安全、可維護、面向未來的設備。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

Anybus Safe2Link 遠程安全 IO,助力快速實現功能安全!

替換老舊連接方案,加速實現 CRA 合規

Anybus協議轉換網關現已全面支持 CRA

《網絡彈性法案》:一場痛苦但必要的行業重塑

在組態工具中導入PROFINET網絡GSD文件報錯問題