携手恩智浦，应对欧盟《网络弹性法案》合规挑战

《网络弹性法案》(CRA)是欧盟针对数字产品网络安全推出的影响最为深远的法规修订之一。随着数字及互联产品的广泛应用，CRA对在欧洲市场分销这些设备的每一家制造商都提出了更为严格的新要求。这些新规定将提高准入门槛，并为工程设计团队带来全新的考量因素。

恩智浦早已预见到这些监管趋势，并已做好充分准备，助力客户满足CRA合规要求。公司在协助制定行业标准方面发挥了关键作用，并始终按照严格的安全要求构建产品。通过提供包括安全开发实践、第三方认证、漏洞响应、文档支持和生命周期管理在内的解决方案，恩智浦已准备好帮助客户应对CRA带来的新挑战。

CRA为何至关重要

CRA为投放欧盟市场、包含数字元素的产品(包括其相关的远程数据处理和数字服务)设定了强制性网络安全要求。值得注意的是，该法规将网络安全准备作为获得CE标志的先决条件，使信息安全与功能安全处于同等地位。因此，制造商不能再将信息安全视为产品后期的附加功能，而必须在项目伊始就采用“设计安全”理念。

一般而言，该法规适用于那些直接或间接、逻辑或物理地连接到其他设备或网络，并且能够处理、存储或传输数字数据的软硬件产品。

该法规将于2027年12月11日起全面强制执行，其中漏洞报告义务将于2026年9月生效。不合规可能导致高达1500万欧元或全球年营业额2.5%的罚款(以较高者为准)。

清晰的指引对于遵从行业法规至关重要。了解恩智浦如何助力制造商简化CRA合规流程并实现长期弹性。

制造商必须履行的事项

为使制造商符合新法规，CRA规定了若干核心义务：

产品必须遵循“设计安全”和“默认安全”原则，确保信息安全贯穿产品的整个生命周期
产品在投放市场时，不得包含任何已知的可利用漏洞
制造商必须提供至少五年或产品预期使用寿命内的安全支持
在产品生命周期内，制造商必须向相关机构报告已被利用的漏洞和重大安全事件

除了这些基本义务，CRA并未规定具体的功能或架构。相反，它将责任交由制造商承担，要求其进行基于风险的决策，证明所选的风险缓解策略与产品的威胁暴露程度相匹配。

恩智浦面向CRA合规的开发策略

恩智浦采取全面的“设计安全”策略来应对CRA合规要求。公司致力于使其开发实践与相关标准和法规保持一致，并携手独立第三方对其产品进行评估。通过积极参与全球标准机构和行业工作组，恩智浦不断将最佳实践和新兴安全标准融入其工程流程。

恩智浦还建立了强大的出口管制和供应链安全框架，这与CRA所强调的基于风险且有详尽记录的安全决策理念相契合。这包括明确记录风险分析、实施方案选择及设计原理，确保所有安全措施与产品面临的具体威胁情况相匹配。

为了应对新老产品，恩智浦通过定期更新产品文档、整合增强型安全控制措施以及提供定制化支持，不断完善其合规策略。

依托这种开放进取、持续改进、透明沟通的文化氛围，恩智浦助力客户在快速变化的监管环境中自信前行，从容应对CRA合规挑战。

提升您的CRA专业知识。探索即将面临的监管挑战，了解如何加速为CRA做好准备。

安全开发与认证，降低集成风险

恩智浦面向CRA合规的开发策略，建立在贯穿产品整个生命周期的安全工程实践基础之上。作为“设计安全”策略的一部分，恩智浦将安全实践融入开发的每个阶段，从设计、生产到长期生命周期管理。这些安全开发实践已由第三方组织根据相关标准进行了认证，包括面向汽车业的ISO/SAE 21434标准、面向工业领域的IEC 62443-4-1标准以及面向医疗应用的IEC 81001-5-1标准。

除了这些流程认证之外，部分恩智浦产品还会接受独立第三方的评估，评估依据SESIP (EN 17927)或Common Criteria (ISO 15408)标准执行。这些评估验证安全启动和加密运算等基础安全功能，为制造商提供了一条清晰且经过验证的路径来实现CRA合规，而无需对核心安全功能进行重复评估。

这些安全开发流程和认证共同降低了设备制造商的集成风险，简化了合规评估，并增强了CE标志认证及CRA售后义务所需的安全文档包。

满足CRA报告要求的漏洞处理

漏洞处理是CRA最重要的要求之一，因为它影响产品交付后的日常工程运营。根据CRA规定，制造商现在需要记录和报告漏洞，制定明确的事件响应流程，并及时提供修复方案。

为了及时应对安全漏洞问题，恩智浦多年来一直设有专门的产品安全事件响应小组(PSIRT)。该团队负责管理恩智浦产品的安全漏洞，包括提交漏洞报告、开展技术调查、评估严重程度及影响，同时为客户提供明确的缓解指导。

这一机制不仅帮助客户构建符合CRA要求的产品售后流程，还为设备制造商实现长期生命周期管理奠定了基础。随着系统日益互联且愈发由软件定义，这种连续性将成为维持合规性的必要条件。

加强合规性的文档与资源

CRA合规的一项明确要求是对文档的高度重视。制造商需要在相关机构提出要求时，提供风险评估、软件物料清单(SBOM)、实施方案说明、认证证书及评估报告。然而，许多企业低估了在产品整个生命周期内编制和维护如此多文档所需的工作量。

尽管CRA引入了新的文档要求，但值得注意的是，其中多项要求是基于工程团队当前已开展的活动而制定的，例如制定安全目标和制定与外部标准的映射关系。为支持这些工作，恩智浦提供全面的技术资源和文档。通过与恩智浦合作，客户可以获取产品和流程认证证书、应用笔记以及各类标准(EN 18031/RED、ISO 21434、IEC 62443-4-2、EN 303 645、NIST 8425等)的相关文档。

面向CRA合规产品的恩智浦安全技术

除流程和文档外，恩智浦还提供一系列旨在增强产品稳健性、完整性和生命周期弹性的安全技术。这些技术帮助制造商实施“设计安全”架构，保护关键资产，并确保产品在整个使用寿命期间保持弹性：

EdgeLock安全区域：对敏感资产和安全功能进行基于硬件的隔离，强化“设计安全”原则，并在设备整个生命周期内防止出现未经授权的访问或操作
EdgeLock安全芯片和验证芯片：经第三方认证的防篡改组件，支持安全密钥存储、加密、认证和安全升级验证，有助于简化最终产品的合规评估。
EdgeLock 2GO：恩智浦的安全凭证配置和无线(OTA)密钥管理服务，支持现场凭证保护与管理、安全升级以及整个产品生命周期的漏洞处理，直接契合CRA的产品售后义务要求
信任配置：安全身份注入，确保设备身份、凭证和证书以可控且可追溯的方式进行处理，支持CRA对供应链完整性的要求
物理和逻辑攻击防护：内置检测与缓解机制，降低未授权访问或设备操作的风险
后量子加密(PQC)技术：抗量子攻击的加密算法，在漫长的产品生命周期内提供先进的保护和长期弹性

更安全、更可靠的未来

CRA正在改变欧洲互联产品市场，而恩智浦已为这一变革做好充分准备。通过与恩智浦合作，客户可以加速产品开发，并在安全设计、功能验证和长期生命周期管理的可靠基础上，满怀信心地向前迈进。

在2026年嵌入式世界大会与恩智浦相聚

诚邀您莅临2026年嵌入式世界大会(4A-222号展位)，深入了解面向CRA合规的开发策略，并现场体验我们的技术：

EW论坛演讲“超越芯片：与恩智浦携手打造切实可行的《网络弹性法案》合规蓝图 ”，3月10日星期二下午5:00，3A厅，631号展位
恩智浦FRDM实验室课程：“构建具有网络弹性的嵌入式系统：符合《网络弹性法案》(CRA)要求”，3月10日星期二上午9:30-10:30，3月11日星期三上午10:30-11:30，FRDM实验室展区3A-128
与专家面对面交流：恩智浦主题专家将亲临恩智浦展位(4A-222)，就您的产品、需求及CRA相关挑战进行深入交流

如需了解恩智浦为满足CRA合规要求提供的定制化支持，并获取详细指导，请访问欧盟《网络弹性法案》(CRA)专题页面，下载完整版常见问题解答文档。