文章总结: 本文解析欧盟CRA法案产品分级规则,指出内置防火墙等安全组件不会自动提升整机合规等级。核心结论是分级仅取决于产品主要功能而非集成组件,普通产品可自我认证,重要II类及关键产品需第三方认证。所有产品均需完成全生命周期安全风险评估,企业可通过四步自查法避免过度合规成本。 综合评分: 82 文章分类: 政策法规,解决方案,安全建设,技术标准,应用安全
CRA 分级大坑!内置防火墙≠高风险产品,一文分清重要 / 关键产品判定规则
原创
GTG-Hardy GTG-Hardy
GTG网络安全实验室
2026年6月28日 09:30 广东
在小说阅读器读本章
去阅读
做路由器、工控系统、APP、操作系统出海企业注意:很多企业误以为只要产品带加密、浏览器、安全芯片,就必须找公告机构做第三方 CRA 认证。欧盟 CRA 官方 FAQ 第三章专门纠正这个普遍误区 ——产品分级只看整机核心功能,内置高风险组件不会拉高整机合规等级,分级只改变认证路径,但所有产品都必须做完整安全风险评估。今天拆解官方 4 大判定规则,避开高额第三方认证成本与合规错判风险。
一
CRA三类产品分级,直接决定认证方式
欧盟将所有联网数字产品分为 3 档,分级核心作用是确定你能不能自我认证、要不要第三方公告机构介入:
- 普通默认产品绝大多数消费家电、普通 APP、单机设备,适用 Module A 厂商自我评估,无需第三方机构。
- 重要产品(分 I/II 类)I 类:操作系统、浏览器、密码管理器、家用路由器、VPN;满足协调标准可自审,否则第三方审核;II 类:防火墙、入侵检测、安全芯片、容器虚拟化;强制第三方公告机构认证。
- 关键产品SIEM、工业工控控制系统、支撑关键基础设施网络设备,必须第三方审核 + 欧盟网络安全专项认证。
判定唯一标准:产品整体核心功能是否落在官方附录 III、IV 清单。
二
FAQ3.2高频踩坑红线:
集成安全组件≠整机升级分级
90% 厂商都会踩错的规则:
即便你的设备内置防火墙、嵌入式浏览器、安全加密芯片,只要整机主打功能不属于高风险品类,整机依旧是普通产品,不用走严苛第三方认证。
真实案例
- 智能手机内置密码管理、安全芯片,核心是移动通信终端,属于普通产品,可 Module A 自审;
- 智能家居中控集成嵌入式浏览器,整机核心是设备联动,不归类浏览器重要产品;
- 车载主机内置身份验证组件,整车终端不属于身份管理类高风险产品。只有单独对外售卖的防火墙、浏览器软件 / 芯片,才按重要 / 关键产品管控;集成整机不受组件分级牵连。
三
FAQ3.3重要提醒:
分级不豁免风险评估义务
无论普通、重要、关键产品,厂商法定义务完全一致:
-
产品全生命周期网络安全风险评估;
-
默认安全出厂配置;
-
最低 5 年安全支持周期、免费安全补丁;
-
漏洞响应、高危漏洞强制上报;
-
完整技术文档留存。
分级仅改变合格评定审核主体,基础安全义务一条不能少;高风险产品只需要在风险评估中强化防护手段,无豁免条款。
四
FAQ3.4多功能产品判定:
附加功能不作分级依据
很多设备兼具多种工具功能,官方明确:只看产品主业,附带安全工具不改变分级。举例:
- Windows 自带计算器、画图工具,核心是操作系统,仍为重要 I 类;
- 安全编排 SOAR 软件能做日志分析(SIEM 功能),但核心是自动化处置,不属于关键 SIEM 产品;
- 普通办公 APP 自带简易密码保存功能,整机不划为密码管理器。判断标准:去掉附加安全功能,产品仍可正常使用,则该功能不参与分级判定。
五
企业自查四步法,快速判定产品等级
- 提炼核心功能:什么功能缺失,产品完全无法使用;
- 对照 CRA 附录 III/IV 清单匹配品类;
- 核查是否仅集成高风险组件,整机主业无风险属性→维持普通产品;
- 留存分级判定说明,放入技术文档供市场监管核查。
六
总结
- CRA 产品分级看整机核心用途,不看内置安全组件、附加功能;
- 集成防火墙、浏览器等零部件不会拉高整机合规等级,仅单独售卖组件才高风险;
- 普通产品可自审,重要 II 类、关键产品强制第三方公告机构认证;
- 所有品类均需完成完整网络安全风险评估,分级不豁免任何产品安全义务。提前做好产品分级判定,能大幅节省不必要的第三方认证费用,避免过度合规或合规不足双重风险。
广测电磁:全球数字安全合规优选伙伴
别让合规只停留在“拿证”。
面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管,凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。
🏆 为什么GTG能为您降本避险?
- 拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
- 极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
- 全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。
您的全球合规通行证,从这里开始。
[👉 立即咨询 CRA / AI法案 / 隐私合规]
更多相关内容
欢迎关注视频号“GTG网络安全实验室”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:GTG网络安全实验室 GTG-Hardy GTG-Hardy《CRA 分级大坑!内置防火墙≠高风险产品,一文分清重要 / 关键产品判定规则》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论