CRA正在重新定義工業網絡連接
如果你擁有機器或設備內部的連接方案,CRA 真正意味著什么
大多數工業設備和機器制造商可能還尚未意識到,《 網絡彈性法案》(CRA)已從根本上改變了“制造聯網工業設備”這件事的內涵。
這并非因為網絡安全是新話題,而是因為CRA正式化了工業設備中嵌入的所有“數字元素”的長期責任,并為聯網工業設備的CRA合規性設定了明確預期。作為歐盟法規,CRA適用于所有在歐洲市場上銷售數字元素的產品,無論其在哪個國家生產1。
現實很殘酷: 如果您開發、擁有或貼牌設備里的連接方案,CRA要求您全權負責證明這套方案在整個生命周期內是安全的、可更新的,并且得到了妥善維護。
本文將解釋這種責任在實踐中是如何體現的,也回答了許多制造商都在關注的問題: 對于構建自主連接方案的企業來說,CRA 究竟意味著什么?

圖1 CRA 責任鏈:誰擁有或貼牌連接方案,誰就承擔 CRA 法律責任
1. 連接方案現在成為了產品的“攻擊面”
CRA適用于“帶有數字元素的產品”,即具有或支持直接或間接網絡連接的硬件和軟件。這包括嵌入式通信接口、協議棧、無線模塊、網關或任何定制開發的連接解決方案。
新變化不在于連接會帶來安全問題,而在于CRA把連接方案當成了產品里一個受監管的部分——它必須經過安全設計、有文檔記錄、并且長期維護。
在實踐中,這意味著:
設備里的通信組件不再只是輔助功能。
現在,它被視為產品攻擊面的一部分,是必須在整個生命周期內履行特定安全義務的潛在切入點。
設備制造商和機器制造商必須能夠證明:他們擁有的或貼牌的連接方案符合 CRA 要求。
制造商不容忽視的 CRA 時間線
盡管業內偶爾傳出日期可能變動的傳聞,但 CRA 的截止期限是明確的:

圖2 CRA 關鍵時間點
2026年9月:報告義務開始生效,但許多公司尚未開展相關準備工作。
2027年12月11日:所有投放歐盟市場的帶數字元素的產品必須全面符合 CRA 合規要求。
配套的協調標準還在最后定稿中,其工作仍在推進。目前沒有強烈跡象表明2027年的截止日期會推遲。
圖3 支撐 CRA 合規性的協調標準及支持性文件的當前開發狀態
2. 《網絡彈性法案》對制造商的實際要求
我們最常聽到的一個問題是: CRA為設備制造商和機器制造商帶來了哪些安全義務?
簡而言之,CRA遠不止于提升網絡安全。它引入了強制性的安全和生命周期要求 ,只要設備在市場上銷售(通常長達 10-15 年甚至更久),這些要求就持續有效。

圖4 CRA安全義務
這些義務是正式的、基于證據的,并需接受評估2。CRA要求:
正式的安全開發生命周期
制造商必須證明其產品中的連接方案是在結構化、可重復且可審計的安全流程下開發和維護的。非正式或臨時的做法已不再合規。
漏洞處理與披露
CRA要求建立持續運行的流程:
監控漏洞
影響評估
發布補丁
溝通披露信息
保留詳細記錄
這項責任并不會在產品上市后結束,而是要貫穿設備的整個使用周期。
軟件材料清單(SBOM)
制造商必須記錄:
每一個軟件組件
依賴關系
開源庫
版本歷史
如果您的連接協議棧里有很多老代碼或繼承的代碼,這一點將極具挑戰性。
可修補性與安全更新
如果您的設備預計運行超過十年,您必須具備在整個周期內交付安全更新的技術能力和組織承諾。
文檔與可追溯性
CRA要求提供可維持維護的憑證,包括:
設計文檔
測試報告
安全架構描述
更新機制
事件處理記錄
對于許多公司而言,其內部開發的連接協議棧根本不存在這類文檔。
如果不合規,后果是什么?
CRA 引入了嚴厲的懲罰措施:
罰款最高可達1500萬歐元,或占全球年收入的2.5%
產品可能被禁止在歐盟市場銷售
最終客戶和系統集成商可能會拒絕采購不符合 CRA 標準的組件。
CRA 合規性不再僅僅是監管要求,它正迅速演變為客戶的硬性采購指標。

圖5 違規后果
3. 為什么“我們已經做了安全防護”往往還不夠?
一個常見的誤區是認為現有的內部網絡安全實踐就能滿足 CRA 的預期。許多團隊還會問:CRA 如何影響多年前構建的內部連接方案?
實際上,非正式或臨時的安全措施是遠遠不夠的,因為CRA要求:
證據,而非意圖。
正式流程,而非最佳實踐
可重復性,而非一次性改進
生命周期責任,而非僅針對發布日期的合規。
許多制造商高估了自身的合規現狀,現有的技術體系往往難以企及 CRA 的嚴苛標準。特別是當設備依賴老舊協議棧、缺乏維護的開源組件或‘無證可查’的集成方案時,合規缺口將尤為巨大。
4. 典型盲區
基于協助制造商集成通信技術數十年的經驗,HMS Networks 發現企業在準備 CRA 合規時通常存在兩大盲區:自主連接方案的盲區以及第三方供應商相關的盲區。
這兩方面在CRA的長期安全和生命周期要求下,都會帶來巨大的合規挑戰。
4.1 自主連接方案的盲區
遺留協議棧
許多棧是多年前開發的,缺乏現代安全控制,且難以升級到現有標準。
未維護的開源依賴
連接棧通常包含開源組件,現在必須對其進行記錄、監控和打補丁。
缺乏正式的漏洞響應流程
團隊通常是“見招拆招”,但 CRA 要求文檔化、持續化的流程。
長期維護能力有限
內部方案往往依賴特定個人或老舊代碼庫,無法滿足 10-15 年的更新義務。
這些認知盲區的存在事出有因。在傳統的設備開發邏輯中,通信連接通常被視為一項功能指標,而非工業網絡安全的范疇。
4.2 供應商相關的盲區
根據 CRA 的要求,產品所使用的第三方硬件和軟件也必須符合安全規范。許多廠商對此預估不足,而這恰恰可能是 CRA 認證過程中最具挑戰性的環節。
硬件依賴
適用于所有會影響產品安全的硬件組件,包括微控制器(MCU)和安全元件。目前,許多老舊組件正被歸入“備件生命周期”,從而免于CRA約束。但一旦發生這種情況,原本由供應商承擔的安全義務將全部轉嫁到設備制造商身上。
制造商將越來越需要從硬件供應商那里拿到CRA合規聲明。
軟件依賴關系
操作系統、協議棧和嵌入式庫必須擁有 CRA 合規聲明。如果沒有,制造商必須負責監控其漏洞、發布補丁,即使沒有源代碼也需承擔此責。
為什么供應商的重要性達到了前所未有的高度?
第三方軟硬件可能成為CRA合規的最大障礙。即使設備制造商自己的規范符合要求,供應商的不合規組件也可能阻礙合規。

圖6 與供應商相關的CRA盲區:如果第三方硬件或軟件拿不出合規聲明,那么安全、更新和合規的責任就全部轉移到制造商身上。
5. 結論及后續
如果您想知道CRA對您長期的連接方案責任意味著什么,答案是:它正式規定了安全、維護和文檔義務,設備制造商和機器制造商無法規避。
最終,每個制造商都必須回答一個關鍵的戰略問題:
誰負責你聯網設備的CRA合規,是你自己還是你的供應商?
CRA迫使制造商重新思考連接方案這件事。它不再只是“讓設備能上網”,而是要擁有并證明長期的安全、文檔和生命周期義務。
這引出了下一個問題:
你真的想扛起自己開發和貼牌連接方案所帶來的所有安全、維護和合規責任嗎?
我們將在下一篇文章《 為何CRA痛苦但必要》中進一步探討,探討隱藏成本、組織負擔,以及為何這種轉變最終有利于工業生態系統。
CRA資源與連接解決方案
無論您是在更新現有設備,還是設計新產品,正確的連接策略都是CRA合規的關鍵。了解更多關于《網絡彈性法案》的信息,并看看Anybus網關和嵌入式解決方案如何幫您構建安全、可維護、面向未來的設備。
提交
Anybus Safe2Link 遠程安全 IO,助力快速實現功能安全!
替換老舊連接方案,加速實現 CRA 合規
Anybus協議轉換網關現已全面支持 CRA
《網絡彈性法案》:一場痛苦但必要的行業重塑
在組態工具中導入PROFINET網絡GSD文件報錯問題

投訴建議