欧盟《网络弹性法案》(CRA)

《网络弹性法案》(CRA)是一项里程碑式法规，由欧盟委员会于2024年11月正式颁布(法规(EU) 2024/2847)，将于2027年12月全面生效。该法规强制要求：任何在欧盟境内销售带有数字元素的产品或服务的公司，都必须符合本法规的规定，以获得CE认证标志。

要求
我们的承诺
主要原则
安全功能
文档
相关资源

CRA包含两套要求

基本网络安全要求(ECR)

这些功能安全要求为欧洲境内的产品和服务设定了安全基准。

企业要求

这些要求旨在确保企业须遵循安全实践与流程，其中包括：

旨在产品发布时消除所有已知可被利用的安全漏洞的开发流程
产品全生命周期的漏洞管理职责：

潜在问题通报的透明度
缓解策略

恩智浦的合规承诺

恩智浦高度重视安全与合规，并致力于为客户提供支持，以满足他们的需求并符合各项监管要求。

恩智浦承诺严格遵守所有适用的法律与法规。其中包括同样适用于半导体领域的《网络弹性法案》(CRA)。恩智浦正为《网络弹性法案》的落地实施积极筹备。敬请知悉，《网络弹性法案》定于2027年12月11日起强制执行。目前，该法规中的若干具体条款仍在演进与澄清过程中。恩智浦正密切关注该法规的进展，以保障及时合规。作为此项工作的一部分，恩智浦将提供明确的声明文件，阐述我们的产品系列将如何符合《网络弹性法案》的相应类别要求。

自《网络弹性法案》合规要求正式生效之日起，所有恩智浦在欧洲销售的产品均将获得CE认证标志。恩智浦凭借其安全开发流程，在医疗、汽车及工业领域积累了应对类似要求的丰富经验，并已通过IEC 81001-5-1、IEC 62443-4-1及ISO 21434等ISO与IEC行业认证。

遵从《网络弹性法案》(CRA)

了解如何满足CRA对安全产品设计和生命周期的要求。

下载白皮书

选择恩智浦，CRA合规无忧：为您的产品提供合规与安全“双保险”

恩智浦的合规与安全认证以EdgeLock® Assurance保障计划为支撑，并经由广泛的安全合规认证得到验证。公司级安全认证可在此查阅。

我们的流程均遵循《网络弹性法案》的核心原则，其中包括：

已实施安全开发生命周期管理
实施严格的安全测试与漏洞管理机制
确保所有业务环节的安全性
完成全面的风险管理评估

恩智浦安全开发流程与信息安全管理体系(ISMS)的全面概述，阐述了公司层面的业务创建与管理框架(BCaM)、恩智浦安全成熟度流程(SMP)以及统领性的产品安全计划。

设计安全

我们的开发流程植根于“设计安全”的核心原则，并已通过ISA/EIC 62443 4-1 ML3 (工业控制系统)、ISO/SAE 21434 (汽车)及IEC 81001-5-1 (医疗)等行业标准的验证与认证。

无已知可利用漏洞

我们的产品在开发过程中，均会采用先进工具接受严格的安全测试。部分产品亦会通过外部合作伙伴进行测试，详见我们经过认证的EdgeLock® Assurance保障计划。

漏洞管理职责

恩智浦专门成立了产品安全事件响应小组(PSIRT)，严格遵循既定流程，及时处理安全漏洞与事件。该团队会就已上报漏洞所造成的影响、严重级别及缓解措施提供明确指导。

意见领袖

恩智浦积极参与欧洲内部的标准化与行业组织(如CENELEC、ETSI、GlobalPlatform、Auto-ISAC和Matter)，为《网络弹性法案》的持续界定贡献力量。这种深度参与确保我们的流程、程序与实践能够持续合规并与时俱进。

恩智浦助您轻松合规

恩智浦提供一系列全面的产品组合以支持您的安全应用，其产品不仅具备强大的安全功能，更辅以易用的工具与广泛的合作伙伴生态。

恩智浦产品的安全功能与相关法规要求相匹配：

必备安全能力(法规)	恩智浦解决方案提供安全功能支持¹
产品配置	设备生命周期管理安全软件与证书安装安全启动，安全更新
产品身份验证	识别和身份验证、证明安全密钥存储/管理
获取产品	安全调试，安全连接安全密钥存储/管理用于访问控制的加密服务
数据保护	数据加密/身份验证篡改检测，防篡改安全密钥存储/管理对数据的优先访问权限，安全连接
产品监测与网络状态感知	身份验证设备(运行时)认证安全事件审计/日志记录
漏洞修复与产品更新	安全更新安全密钥存储/管理
减少事件影响产品供货情况	篡改/异常检测软件/数据/处理隔离损害控制与设备恢复安全密钥存储/管理

¹请查阅恩智浦的产品数据手册与安全手册，以获取特定安全功能的可用性信息。

文档

AN14671：依托EdgeLock Discrete产品组合简化CRA合规流程了解EdgeLock Discrete产品组合如何助力OEM厂商落实CRA合规要求	应用笔记	2025年10月13日
设计安全：嵌入式系统的安全基石探索恩智浦与PHYTEC如何通过集成硬件安全技术、融入安全设计理念及实施全生命周期管理，助力构建安全的嵌入式系统。	白皮书	2025年7月10日
遵从《网络弹性法案》(CRA) 了解如何满足CRA对安全产品设计和生命周期的要求。	白皮书	2025年7月10日
AN14601：i.MX 93助力简化CRA合规流程了解i.MX 93如何助力OEM厂商落实CRA合规要求	应用笔记	2025年6月25日
AN14687：MCX N助力简化CRA合规流程了解MCX N如何助力OEM厂商落实CRA合规要求	应用笔记	2025年6月20日

资源

产品信息

培训

恩智浦提供的所有信息在其认知范围内力求准确，且该等信息的提供不构成亦不旨在创设或加重恩智浦的任何义务。所有信息均按 “原样” 提供，恩智浦不对其作出任何明示或默示的声明或保证，包括但不限于关于准确性、完整性、产品对特定用途的适用性、以及信息、测试结果、分析或评估无需客户进一步测试或修改即可靠的任何保证。对于因恩智浦提供的任何信息或协助所引起、与之相关或伴随发生的任何性质的损害或损失，恩智浦均不承担任何责任。客户应对其自身应用和产品的设计及运营负全部责任，且必须采取适当的设计与操作安全措施，以最大限度降低其应用和产品相关的风险。