文章总结: 欧盟CRA新规澄清核心误区:老产品型号无永久豁免,2027年12月11日后新量产的同型号整机必须100%合规。豁免仅针对此前已投放市场的单台成品,备件维修有专属豁免。企业需进行型号盘点、合规改造、完善文档并建立漏洞响应体系,否则面临高额罚款。 综合评分: 87 文章分类: 政策法规,解决方案,安全意识,安全建设,供应链安全
重磅澄清!欧盟CRA新规:提前研发的老产品型号,2027年后不能随便量产了
原创
GTG-Hardy GTG-Hardy
GTG网络安全实验室
2026年7月14日 09:55 广东
在小说阅读器读本章
去阅读
很多做欧盟出口的硬件、智能设备厂商,近期都卡在同一个合规疑问:
我的产品型号早在CRA生效前就已经研发定型、批量出货,是不是可以靠“老型号身份”永久豁免新规?2027年之后继续生产同款产品,还需要做CRA合规吗?
不少企业默认的答案是:可以、不用改、能继续卖。
但欧盟CRA官方FAQ 7.2条款,直接推翻了这个行业普遍误区,给所有出口企业划下了清晰且严苛的量产红线。
今天这篇干货,一次性讲透老型号产品的CRA合规边界、生效时间、豁免逻辑和落地整改方案,帮企业避开2027年合规翻车风险
一
核心误区:型号老≠永久豁免
绝大多数厂商的错误认知:
只要产品型号在CRA落地前完成开发、上市定型,就属于“历史产品”,后续无限期量产同款设备,都可以豁免CRA网络安全合规要求。
这是完全错误的!
CRA的核心监管逻辑,从来不看产品型号的研发时间,只看单台产品投放欧盟市场的时间。
简单来说:豁免的是“2027.12.11前上市的单台成品”,不是“整个老产品型号”。
哪怕你的型号是五年前、十年前定型的成熟爆款,只要是 2027年12月11日之后新生产、新投放欧盟市场的整机,一律视作全新产品,必须100%满足CRA全套合规要求,无任何型号特例、无批量豁免。
二
官方权威结论(CRA FAQ 7.2)
针对“新规生效前研发定型的产品,生效后能否继续量产同款”的问题,欧盟官方明确裁定:
不可以直接无条件量产。
具体规则拆解:
✅可豁免场景
2027年12月11日之前,已经合法投放欧盟市场的单台产品(包含渠道库存、未到终端的在售库存),终身豁免CRA附录I基础安全合规要求,无需整改、无需重做认证。
❌ 不可豁免场景
2027年12月11日及以后,全新生产、全新出货、全新上市的同型号整机,无论型号研发时间早晚,必须完成CRA合规改造、符合性评估、CE标识、技术文档归档,否则禁止进入欧盟市场。
通俗举例:
你2026年量产上市1万台A型号路由器,2027年底前全部投放欧盟,这1万台全部合规豁免;
但你2028年再追加生产5000台完全一模一样的A型号路由器,这批新品必须全套CRA合规,否则属于违规上市。
三
极易混淆的两大边界:
整机量产vs备件维修
很多企业会把整机量产和备件豁免混为一谈,这里重点区分,避免错判合规范围:
- 全新整机量产(本次条款管控核心)
用于市场销售、终端替换、新增部署的全新整机,无论是否沿用老型号,2027.12.11后新品必须合规,无任何豁免资格。
- 维修替换备件(专属豁免,与整机无关)
根据CRA Article 2(6)规定,仅用于老旧设备维修、规格完全一致的替换备件,可享受合规豁免。
重点提醒:备件豁免仅限维修场景,绝不适用新品量产销售!
四
所有老产品都逃不掉的两项强制义务
即便你2027年前上市的老产品不做新量产,也并非完全“躺平免责”,两项核心义务全员覆盖、无新旧产品例外:
- 2026年9月11日起:漏洞安全事件上报义务强制生效
所有在欧盟流通的数字产品,无论上市时间新旧,一旦出现可被野外利用的安全漏洞、重大网络安全事件,厂商必须在24小时内启动上报、72小时内提交完整报告至欧盟ENISA及对应成员国CSIRT机构。
- 老产品重大修改,直接触发全新合规要求
2027年后,若对存量老型号进行硬件改造、核心固件升级、功能拓展等实质性修改,改变产品安全架构、扩大攻击面,会被欧盟认定为全新产品投放,必须补全全套CRA合规手续。
五
企业落地实操方案(直接照做)
针对仍需长期量产出口欧盟的老型号产品,整理了一套低成本、高适配的合规落地路径,适配绝大多数中小制造企业:
第一步:型号盘点与量产规划
梳理所有对欧出口老型号,区分“2027年后持续量产型号”和“仅存量销售、不再新增量产型号”,针对性制定合规计划,避免无效投入。
第二步:提前完成CRA合规改造
对持续量产的老型号,对标prEN 40000横向标准、ETSI EN 304 6XX垂类标准,完成硬件安全、固件防护、漏洞修复、安全更新机制整改,补齐安全能力短板。
第三步:完善合规文档体系
完成技术文档汇编、符合性声明、SBOM软件物料清单、VEX漏洞说明文件归档,搭建完整合规证据链,应对欧盟市场抽检。
第四步:搭建常态化漏洞响应体系
建立PSIRT漏洞处置流程,落实24小时漏洞上报、安全迭代更新义务,覆盖所有存量、在售产品,规避合规处罚(最高可处全球营收2.5%或1500万欧元罚款)。
第五步:区分整机与备件合规场景
单独梳理维修备件清单,留存规格一致性证明,合法享受备件豁免;严格区分新品量产与备件流通,避免合规混同违规。
CRA合规的核心逻辑从来不是“优待老产品”,而是管控每一台上市新品的网络安全底线。
没有老型号永久豁免,只有老成品存量豁免。2027年12月11日是关键分水岭,此后所有新量产、新上市的同款老型号产品,必须全面合规。
距离CRA全面强制落地仅剩一年多时间,提前完成老型号合规整改、理清量产边界,是规避出口受阻、高额罚款的核心关键。
广测电磁:全球数字安全合规优选伙伴
别让合规只停留在“拿证”。
面对欧盟 CRA网络弹性法案、AI法案及 GDPR/CCPA/数据法案等严苛监管,凭借CNAS(L18872)+A2LA(6947.01)双资质及前360/深信服核心网络安全专家团队,为您提供真正的“实战级”防护。
🏆 为什么GTG能为您降本避险?
- 拒绝模板:不只给报告,我们提供定制化漏洞修复方案,确保产品真安全。
- 极致省心:代写核心文档,免除繁琐填表,让合规效率提升70%。
- 全域覆盖:从消费电子到汽车、工控、医疗,一站式解决全球隐私与数据安全难题。
您的全球合规通行证,从这里开始。
[👉 立即咨询 CRA / AI法案 / 隐私合规]
更多相关内容
欢迎关注视频号“GTG网络安全实验室”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:GTG网络安全实验室 GTG-Hardy GTG-Hardy《重磅澄清!欧盟CRA新规:提前研发的老产品型号,2027年后不能随便量产了》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论