如果你擁有機(jī)器或設(shè)備內(nèi)部的連接方案，CRA 真正意味著什么

大多數(shù)工業(yè)設(shè)備和機(jī)器制造商可能還尚未意識(shí)到，《 網(wǎng)絡(luò)彈性法案》（CRA）已從根本上改變了“制造聯(lián)網(wǎng)工業(yè)設(shè)備”這件事的內(nèi)涵。

這并非因?yàn)?a style='color: blue;display:inline;border:none;' target='_blank' href='http://www.lgcfx.com/safety1/' onclick="HitLog('網(wǎng)絡(luò)安全','http://www.lgcfx.com/safety1/')" >網(wǎng)絡(luò)安全是新話題，而是因?yàn)镃RA正式化了工業(yè)設(shè)備中嵌入的所有“數(shù)字元素”的長(zhǎng)期責(zé)任，并為聯(lián)網(wǎng)工業(yè)設(shè)備的CRA合規(guī)性設(shè)定了明確預(yù)期。作為歐盟法規(guī)，CRA適用于所有在歐洲市場(chǎng)上銷售數(shù)字元素的產(chǎn)品，無(wú)論其在哪個(gè)國(guó)家生產(chǎn)1。

現(xiàn)實(shí)很殘酷： 如果您開發(fā)、擁有或貼牌設(shè)備里的連接方案，CRA要求您全權(quán)負(fù)責(zé)證明這套方案在整個(gè)生命周期內(nèi)是安全的、可更新的，并且得到了妥善維護(hù)。

本文將解釋這種責(zé)任在實(shí)踐中是如何體現(xiàn)的，也回答了許多制造商都在關(guān)注的問題： 對(duì)于構(gòu)建自主連接方案的企業(yè)來(lái)說，CRA 究竟意味著什么？

圖1  CRA 責(zé)任鏈：誰(shuí)擁有或貼牌連接方案，誰(shuí)就承擔(dān) CRA 法律責(zé)任

1. 連接方案現(xiàn)在成為了產(chǎn)品的“攻擊面”

CRA適用于“帶有數(shù)字元素的產(chǎn)品”，即具有或支持直接或間接網(wǎng)絡(luò)連接的硬件和軟件。這包括嵌入式通信接口、協(xié)議棧、無(wú)線模塊、網(wǎng)關(guān)或任何定制開發(fā)的連接解決方案。

新變化不在于連接會(huì)帶來(lái)安全問題，而在于CRA把連接方案當(dāng)成了產(chǎn)品里一個(gè)受監(jiān)管的部分——它必須經(jīng)過安全設(shè)計(jì)、有文檔記錄、并且長(zhǎng)期維護(hù)。

在實(shí)踐中，這意味著：

設(shè)備里的通信組件不再只是輔助功能。

現(xiàn)在，它被視為產(chǎn)品攻擊面的一部分，是必須在整個(gè)生命周期內(nèi)履行特定安全義務(wù)的潛在切入點(diǎn)。

設(shè)備制造商和機(jī)器制造商必須能夠證明：他們擁有的或貼牌的連接方案符合 CRA 要求。

制造商不容忽視的 CRA 時(shí)間線

盡管業(yè)內(nèi)偶爾傳出日期可能變動(dòng)的傳聞，但 CRA 的截止期限是明確的：

圖2  CRA 關(guān)鍵時(shí)間點(diǎn)

2026年9月：報(bào)告義務(wù)開始生效，但許多公司尚未開展相關(guān)準(zhǔn)備工作。

2027年12月11日：所有投放歐盟市場(chǎng)的帶數(shù)字元素的產(chǎn)品必須全面符合 CRA 合規(guī)要求。

配套的協(xié)調(diào)標(biāo)準(zhǔn)還在最后定稿中，其工作仍在推進(jìn)。目前沒有強(qiáng)烈跡象表明2027年的截止日期會(huì)推遲。

圖3  支撐 CRA 合規(guī)性的協(xié)調(diào)標(biāo)準(zhǔn)及支持性文件的當(dāng)前開發(fā)狀態(tài)

2. 《網(wǎng)絡(luò)彈性法案》對(duì)制造商的實(shí)際要求

我們最常聽到的一個(gè)問題是： CRA為設(shè)備制造商和機(jī)器制造商帶來(lái)了哪些安全義務(wù)？

簡(jiǎn)而言之，CRA遠(yuǎn)不止于提升網(wǎng)絡(luò)安全。它引入了強(qiáng)制性的安全和生命周期要求 ，只要設(shè)備在市場(chǎng)上銷售（通常長(zhǎng)達(dá) 10-15 年甚至更久），這些要求就持續(xù)有效。

圖4  CRA安全義務(wù) 

這些義務(wù)是正式的、基于證據(jù)的，并需接受評(píng)估2。CRA要求：

正式的安全開發(fā)生命周期

制造商必須證明其產(chǎn)品中的連接方案是在結(jié)構(gòu)化、可重復(fù)且可審計(jì)的安全流程下開發(fā)和維護(hù)的。非正式或臨時(shí)的做法已不再合規(guī)。

漏洞處理與披露

CRA要求建立持續(xù)運(yùn)行的流程：

監(jiān)控漏洞

影響評(píng)估

發(fā)布補(bǔ)丁

溝通披露信息

保留詳細(xì)記錄

這項(xiàng)責(zé)任并不會(huì)在產(chǎn)品上市后結(jié)束，而是要貫穿設(shè)備的整個(gè)使用周期。

軟件材料清單（SBOM）

制造商必須記錄：

每一個(gè)軟件組件

依賴關(guān)系

開源庫(kù)

版本歷史

如果您的連接協(xié)議棧里有很多老代碼或繼承的代碼，這一點(diǎn)將極具挑戰(zhàn)性。

可修補(bǔ)性與安全更新

如果您的設(shè)備預(yù)計(jì)運(yùn)行超過十年，您必須具備在整個(gè)周期內(nèi)交付安全更新的技術(shù)能力和組織承諾。

文檔與可追溯性

CRA要求提供可維持維護(hù)的憑證，包括：

設(shè)計(jì)文檔

測(cè)試報(bào)告

安全架構(gòu)描述

更新機(jī)制

事件處理記錄

對(duì)于許多公司而言，其內(nèi)部開發(fā)的連接協(xié)議棧根本不存在這類文檔。

如果不合規(guī)，后果是什么？

CRA 引入了嚴(yán)厲的懲罰措施：

罰款最高可達(dá)1500萬(wàn)歐元，或占全球年收入的2.5%

產(chǎn)品可能被禁止在歐盟市場(chǎng)銷售

最終客戶和系統(tǒng)集成商可能會(huì)拒絕采購(gòu)不符合 CRA 標(biāo)準(zhǔn)的組件。

CRA 合規(guī)性不再僅僅是監(jiān)管要求，它正迅速演變?yōu)榭蛻舻挠残圆少?gòu)指標(biāo)。

圖5  違規(guī)后果

3. 為什么“我們已經(jīng)做了安全防護(hù)”往往還不夠？

一個(gè)常見的誤區(qū)是認(rèn)為現(xiàn)有的內(nèi)部網(wǎng)絡(luò)安全實(shí)踐就能滿足 CRA 的預(yù)期。許多團(tuán)隊(duì)還會(huì)問：CRA 如何影響多年前構(gòu)建的內(nèi)部連接方案？

實(shí)際上，非正式或臨時(shí)的安全措施是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)镃RA要求：

證據(jù)，而非意圖。

正式流程，而非最佳實(shí)踐

可重復(fù)性，而非一次性改進(jìn)

生命周期責(zé)任，而非僅針對(duì)發(fā)布日期的合規(guī)。

許多制造商高估了自身的合規(guī)現(xiàn)狀，現(xiàn)有的技術(shù)體系往往難以企及 CRA 的嚴(yán)苛標(biāo)準(zhǔn)。特別是當(dāng)設(shè)備依賴?yán)吓f協(xié)議棧、缺乏維護(hù)的開源組件或‘無(wú)證可查’的集成方案時(shí)，合規(guī)缺口將尤為巨大。

4. 典型盲區(qū)

基于協(xié)助制造商集成通信技術(shù)數(shù)十年的經(jīng)驗(yàn)，HMS Networks 發(fā)現(xiàn)企業(yè)在準(zhǔn)備 CRA 合規(guī)時(shí)通常存在兩大盲區(qū)：自主連接方案的盲區(qū)以及第三方供應(yīng)商相關(guān)的盲區(qū)。

這兩方面在CRA的長(zhǎng)期安全和生命周期要求下，都會(huì)帶來(lái)巨大的合規(guī)挑戰(zhàn)。

4.1 自主連接方案的盲區(qū)

遺留協(xié)議棧

許多棧是多年前開發(fā)的，缺乏現(xiàn)代安全控制，且難以升級(jí)到現(xiàn)有標(biāo)準(zhǔn)。

未維護(hù)的開源依賴

連接棧通常包含開源組件，現(xiàn)在必須對(duì)其進(jìn)行記錄、監(jiān)控和打補(bǔ)丁。

缺乏正式的漏洞響應(yīng)流程

團(tuán)隊(duì)通常是“見招拆招”，但 CRA 要求文檔化、持續(xù)化的流程。

長(zhǎng)期維護(hù)能力有限

內(nèi)部方案往往依賴特定個(gè)人或老舊代碼庫(kù)，無(wú)法滿足 10-15 年的更新義務(wù)。

這些認(rèn)知盲區(qū)的存在事出有因。在傳統(tǒng)的設(shè)備開發(fā)邏輯中，通信連接通常被視為一項(xiàng)功能指標(biāo)，而非工業(yè)網(wǎng)絡(luò)安全的范疇。

4.2 供應(yīng)商相關(guān)的盲區(qū)

根據(jù) CRA 的要求，產(chǎn)品所使用的第三方硬件和軟件也必須符合安全規(guī)范。許多廠商對(duì)此預(yù)估不足，而這恰恰可能是 CRA 認(rèn)證過程中最具挑戰(zhàn)性的環(huán)節(jié)。

硬件依賴

適用于所有會(huì)影響產(chǎn)品安全的硬件組件，包括微控制器（MCU）和安全元件。目前，許多老舊組件正被歸入“備件生命周期”，從而免于CRA約束。但一旦發(fā)生這種情況，原本由供應(yīng)商承擔(dān)的安全義務(wù)將全部轉(zhuǎn)嫁到設(shè)備制造商身上。

制造商將越來(lái)越需要從硬件供應(yīng)商那里拿到CRA合規(guī)聲明。

軟件依賴關(guān)系

操作系統(tǒng)、協(xié)議棧和嵌入式庫(kù)必須擁有 CRA 合規(guī)聲明。如果沒有，制造商必須負(fù)責(zé)監(jiān)控其漏洞、發(fā)布補(bǔ)丁，即使沒有源代碼也需承擔(dān)此責(zé)。

為什么供應(yīng)商的重要性達(dá)到了前所未有的高度？

第三方軟硬件可能成為CRA合規(guī)的最大障礙。即使設(shè)備制造商自己的規(guī)范符合要求，供應(yīng)商的不合規(guī)組件也可能阻礙合規(guī)。

圖6  與供應(yīng)商相關(guān)的CRA盲區(qū)：如果第三方硬件或軟件拿不出合規(guī)聲明，那么安全、更新和合規(guī)的責(zé)任就全部轉(zhuǎn)移到制造商身上。

5. 結(jié)論及后續(xù)

如果您想知道CRA對(duì)您長(zhǎng)期的連接方案責(zé)任意味著什么，答案是：它正式規(guī)定了安全、維護(hù)和文檔義務(wù)，設(shè)備制造商和機(jī)器制造商無(wú)法規(guī)避。

最終，每個(gè)制造商都必須回答一個(gè)關(guān)鍵的戰(zhàn)略問題：

誰(shuí)負(fù)責(zé)你聯(lián)網(wǎng)設(shè)備的CRA合規(guī)，是你自己還是你的供應(yīng)商？

CRA迫使制造商重新思考連接方案這件事。它不再只是“讓設(shè)備能上網(wǎng)”，而是要擁有并證明長(zhǎng)期的安全、文檔和生命周期義務(wù)。

這引出了下一個(gè)問題：

你真的想扛起自己開發(fā)和貼牌連接方案所帶來(lái)的所有安全、維護(hù)和合規(guī)責(zé)任嗎？

我們將在下一篇文章《 為何CRA痛苦但必要》中進(jìn)一步探討，探討隱藏成本、組織負(fù)擔(dān)，以及為何這種轉(zhuǎn)變最終有利于工業(yè)生態(tài)系統(tǒng)。

CRA資源與連接解決方案

無(wú)論您是在更新現(xiàn)有設(shè)備，還是設(shè)計(jì)新產(chǎn)品，正確的連接策略都是CRA合規(guī)的關(guān)鍵。了解更多關(guān)于《網(wǎng)絡(luò)彈性法案》的信息，并看看Anybus網(wǎng)關(guān)和嵌入式解決方案如何幫您構(gòu)建安全、可維護(hù)、面向未來(lái)的設(shè)備。