文章总结: 欧盟CRA合规核心为EN40000横向标准与ETSIEN3046XX垂类标准。前者为全品类数字产品安全底线,后者针对路由器等高风险产品。普通产品满足横向标准即可自认证,高风险产品须双重对标。建议企业立即基于公开草案开展风险评估与漏洞处置建设,规避2027年强制实施后的合规风险。 综合评分: 45 文章分类: 政策法规,技术标准,软文广告,IoT安全,供应链安全
一文看懂CRA两套标准:EN 40000横向+ETSI EN 304 6XX垂类,出海合规直接对标
原创
GTG-Hardy GTG-Hardy
GTG网络安全实验室
2026年7月13日 09:52 广东
在小说阅读器读本章
去阅读
欧盟《网络弹性法案》CRA(EU 2024/2847)监管节奏持续收紧:2026 年 9 月漏洞上报强制生效,2027 年 12 月 11 日全品类强制执行。不少硬件、软件、工控、IoT 厂商卡在落地环节:法规条文抽象,到底拿什么技术文件证明合规?
目前 CRA 配套协调标准草案已全部公开可查阅,横向统一采用EN 40000 系列、高风险垂类产品专用标准统一为ETSI EN 304 6XX 系列,两套体系分工明确、对应 M/606 标准化委托 15 份横向、26 大类垂类规划。
结合欧盟官方 CRA FAQ、三大标准化组织最新草案进展,一次性理清两套标准编号、定位、时间、认证价值、长期扩容逻辑,给国内出海企业可落地对标方案。
一
基础概念:协调标准=合规推定核心依据
协调标准由 CEN/CENELEC/ETSI 受欧盟 M/606 委托编制,标准编号正式刊登《欧盟官方公报(OJEU)》后,产品完整对标标准即可享受合规推定:无需逐条举证匹配 CRA 附录强制要求,大幅降低测试、技术文档、第三方认证成本。
CRA 标准采用双层架构:
- 横向底座:EN 40000 系列,全品类数字产品通用;
- 垂类专项:ETSI EN 304 6XX 系列,仅针对重要 / 关键高风险产品。
二
横向标准EN 40000系列:
15个分项,全产品通用底线
1、编号与开发主体
横向标准由 CEN-CLC/JTC 13 WG 9 编制,统一EN 40000编号前缀,对应 M/606 委托要求的15 个独立横向标准分项,所有联网软件、固件、硬件、IoT、工控设备全部适用,是 CRA 合规最低安全底线。
2、15 个分项整合为 3 大交付包(定稿节点不变)
15 份细分标准按交付周期打包为 3 套交付文件,对应不同落地时间:
· 2026.08.30 定稿交付包 1EN 40000-1-1(术语词汇)、EN 40000-1-2(网络弹性通用原则)、EN 40000-1-3(全生命周期漏洞处置);覆盖安全开发生命周期、PSIRT 机制、漏洞上报与修复全流程。
· 2026.08.30 定稿交付包 2配套通用风险评估、组件尽职调查、SBOM、安全更新机制细分分项;
· 2027.10.30 定稿交付包 3EN 40000-1-4(产品通用安全基线),完整覆盖 CRA 附录 I 第一部分产品固有安全要求(默认安全、无已知可利用漏洞、身份加密、日志审计等)。
3、企业核心价值
· 任何产品合规必须先满足 EN 40000 系列横向要求,垂类标准仅做行业专项补充;
· Class I 重要产品完整对标已公示 EN 40000 协调标准,可选用低成本 Module A 自我认证,无需第三方机构;
· 现阶段全套草案已对外公开,企业可直接基于 EN 40000 系列开展风险评估、技术文档撰写,不用等正式版发布再整改。
三
垂类ESI EN 304 6XX系列:
26大类高风险产品专用标准
1、编号与开发主体
高风险产品垂类标准由 ETSI TC CYBER 主导开发,固定ETSI EN 304 6XX编号体系,对应 M/606 委托规划26 大重要 / 关键产品品类,内部拆分为 31 份独立标准文件,统一 2026.10.30 全部定稿,目前全套成熟草案已在 ETSI 官网开放查阅、公众征询阶段已完成。
2、主流 ETSI EN 304 6XX 标准对应品类举例
| 标准编号 | 覆盖产品 | 风险等级 | | — | — | — | | EN 304 617 | 独立 / 嵌入式浏览器 | Class I 重要产品 | | EN 304 618 | 密码管理器 | Class I 重要产品 | | EN 304 620 | VPN 系统 | Class I 重要产品 | | EN 304 626 | 操作系统 OS | Class I 重要产品 | | EN 304 627 | 路由器、调制解调器、交换机 | Class I 重要产品 | | EN 304 636 | 防火墙、入侵检测 / 防御 IDS/IPS | Class I 重要产品 | | EN 304 632 | 智能门锁、监控、家用安防设备 | 普通高风险 IoT | | 完整 26 大类覆盖浏览器、杀毒软件、SIEM、PKI、启动管理器、工业网关、电子病历、车载数字单元、智能穿戴等全部 CRA 附录 III/IV 列明高风险品类。 | | |
3、高频两大疑问解答
Q1:首批垂类是不是只有 26 大类?短期固定,长期持续扩容
M/606 委托首批规划 26 个高风险产品大类,是 2027 年 CRA 全面实施前完整覆盖清单,短期内不会新增首批任务。
Q2:未来会新增更多重要产品、配套新 ETSI EN 304 6XX 标准吗?
一定会扩容,两套扩容机制
- 高风险产品清单动态更新:欧盟可修订实施条例 (EU) 2025/2392,将 AI 终端、车载域控制器、新型工业边缘设备、专用医疗 IoT 划入 Important/Critical 品类,同步下达标准化任务,新增对应 ETSI EN 304 6XX 编号标准;
- 现有大类细分拆分:例如工控大类后续会拆分能源工控、轨道交通工控专项垂类标准,新增细分 ETSI 标准文件。
4、垂类标准使用硬性规则
高风险产品合规必须横向 EN40000 + 对应 ETSI EN 304 6XX 双重对标,仅满足横向标准无法获得完整合规推定;无对应垂类标准时,Class I/II、Critical 产品禁止使用 Module A 自我认证,强制走 Module B+C/Module H 第三方公告机构认证。
四
EN 40000横向vsETSI EN 304 6XX垂类
核心对比表
| 对比维度 | EN 40000 横向标准 | ETSI EN 304 6XX 垂类标准 | | — | — | — | | 开发机构 | CEN/CENELEC | ETSI | | 标准编号 | EN 40000-1-X | ETSI EN 304 6XX | | 适用范围 | 全部带数字元素产品(消费 / 工控 / 软件通用) | 仅限 CRA 重要、关键高风险产品 | | 规划总量 | M/606 委托 15 个独立分项 | M/606 委托 26 大产品类,拆 31 份文件 | | 定稿时间 | 2026.08 两批、2027.10 收尾 | 统一 2026.10.30 全部定稿 | | 合规必备性 | 所有产品强制打底要求 | 高风险产品额外叠加专项要求 | | 认证影响 | 满足后 Class I 可走 Module A 自认证 | 缺失对应标准则强制第三方 NB 认证 | | 草案现状 | 全套EN 草案公开可下载 | 全套成熟 ETSI 3046XX 草案 ETSI 官网开放查阅 | | 扩容潜力 | 可新增 AI、供应链通用横向规范 | 随高风险产品清单持续新增 XX 编号标准 |
五
CRA标准落地关键时间线
(结合标准草案进度)
- 2026.09.11:漏洞上报义务正式落地,无论标准是否登公报,厂商必须上报野外利用漏洞;当前 EN40000-1-3 漏洞处置草案可直接用于搭建 PSIRT 体系;
- 2026 年全年:EN40000 全套、ETSI EN3046XX 全套草案开放,企业可提前预适配、完成风险评估与测试;
- 2026.08.30:首批横向标准定稿;
- 2026.10.30:全部 ETSI EN 304 6XX 垂类标准定稿;
- 2027.10.30:最后一批横向通用安全基线标准定稿;
- 2027.12.11:CRA 全条款强制实施,标准正式刊登公报后全面生效,无标准支撑产品举证成本翻倍。
六
分品类企业实操对标建议
1、普通消费类产品(手环、基础小家电、普通 APP,默认品类)
仅需对标 EN 40000 横向系列,完成内部风险评估,走 Module A 自我声明,无需 ETSI 垂类标准。
2、高风险 IT 产品(路由器、OS、VPN、防火墙、浏览器)
双标准同步落地:底层遵循 EN 40000 全生命周期要求,叠加对应 ETSI EN 304 6XX 专项细则,提前对接公告机构规划 B+C/H 认证周期。
3、工业 / 医疗 / 车载高风险设备
· 基础框架:EN 40000;
· 行业专项:对应 ETSI EN 304 6XX 垂类标准;
· 补充兼容现有 IEC 62443、EHDS 医疗配套要求,避免重复测试。
4、通用组件厂商(芯片、开源库、固件组件)
组件无 CE 标识也必须依据 EN 40000 组件尽职调查条款完成安全测试、漏洞梳理,向下游交付 SBOM 与安全说明文档,规避整机厂商连带合规风险。
七
长期合规提醒:标准体系不会一成不变
- 短期(2026–2027):聚焦现有 EN40000、ETSI EN3046XX 全套草案完成产品整改,迎接 2027 年强制实施;
- 中长期(2028 年后):欧盟会持续下发新标准化委托,横向会新增 AI 安全、供应链通用规范,垂类会伴随新型高风险产品新增更多 ETSI EN 304 6XX 编号标准;
- 合规常态化:企业需建立标准跟踪机制,定期同步 CEN、ETSI 官网标准修订公告,新品上市前完成双标准对标校验。
CRA 完整技术合规路径已经清晰,不用再等待模糊标准框架:
通用安全底线看 EN 40000 横向系列,路由器 / OS / 防火墙等高风险产品专项看 ETSI EN 304 6XX 垂类系列。
两套标准草案现已全部对外公开,企业完全可以提前基于草案完成安全设计、风险评估与技术文档搭建,抓住过渡期降低 2027 年强制落地整改成本;若未提前对标,2027 年后将面临高额罚款(全球营收 2.5% 或 1500 万欧元取高)、欧盟市场禁售、产品召回等严重后果。
广测电磁:全球数字安全合规优选伙伴
别让合规只停留在“拿证”。
面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管,凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。
🏆 为什么GTG能为您降本避险?
- 拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
- 极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
- 全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。
您的全球合规通行证,从这里开始。
[👉 立即咨询 CRA / AI法案 / 隐私合规]
更多相关内容
欢迎关注视频号“GTG网络安全实验室”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:GTG网络安全实验室 GTG-Hardy GTG-Hardy《一文看懂CRA两套标准:EN 40000横向+ETSI EN 304 6XX垂类,出海合规直接对标》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论