美国网络信任标志，下一步是什么？

帮助创建全球网络安全基线。 考虑与其他人相互承认 (包括欧盟和日本在内的地区)

专注于网络安全基础： 

• Security-by-design (安全设计)

• Transparency for consumers (消费者的透明度)

• Security updatability(安全可更新性)

• International harmonization (国际调和)

下一步是什么：

• FCC 发布公告、收集意见并最终确定计划规则；

• FCC 定义认证范围（CLA 的 ISO 17065 和 CyberLAB 的 ISO 17025）；

• CLA 和 CyberLAB 申请并获得所需的认证；

• 制造商为测试和文件要求做准备 （NISTIR 8425）；

• 制造商与公认的 CLA（以及 CyberLAB，如果可以获得认证）合作，以产品应用与测试；

• ETSI 与 CENELEC 标准化进展；

其他标准化方向：

环境特性：要求标准中明确 “设备预期用途” 作为最低合规水平，支持扩展性能测试，EMC 工作组正在讨论具体方案；

紧急呼叫（RED Article 3.3 (g)）：暂未计划制定协调标准，建议制造商参考ETSI TS 103 625 V1.3.1。

CENELEC（欧洲电工标准化委员会）标准更新（网络安全）

旧标准状态：EN 18031-x 系列标准不再更新，相关内容移交 CRA 标准体系。

CRA 标准规划：参与人员：约300 人参与标准制定；

时间节点：

横向标准（通用网络安全要求）：预期2026 年 8 月完成；

纵向标准（行业特定要求）：预期2027 年 10 月完成；

CRA 全面生效时间：2027 年 12 月 11 日；

挑战：需严格遵守时间节点，确保与 RED 网络安全条款废除计划衔接。

关键问题 —— 信息安全 

欧盟 RED 网络安全要求与 CRA（网络安全法案）的衔接时间线是什么？制造商需如何应对这一过渡阶段的合规要求？

衔接时间线：

1、RED 网络安全要求已于2025 年 8 月 1 日生效，制造商需按此要求完成设备合规；

2、欧盟计划从2027 年 12 月 11 日起废除 RED 中的网络安全条款，相关合规职责全面移交 CRA；

3、CRA 标准制定同步推进：横向标准（通用要求）预期2026 年 8 月完成，纵向标准（行业特定要求）预期2027 年 10 月完成，确保 2027 年 12 月前具备实施条件。

制造商应对措施：

• 短期（2025.8-2027.12）：严格遵守 RED 现有网络安全要求，提交合规文档时需明确非协调标准（如 EN 303 645）与 RED 要求的对应关系，避免依赖公告机构梳理逻辑；

• 中期（2026.8 后）：跟踪 CRA 横向标准发布，提前评估产品对通用网络安全要求的适配性；

• 长期（2027.10 后）：根据 CRA 纵向标准（针对无线电设备的特定要求）调整产品设计，确保 2027 年 12 月后符合 CRA 全面生效后的合规要求。

RED 指令网络安全要求：过渡阶段的 “合规核心与实操痛点”

• RED 指令（无线电设备指令）中 Article 3.3D/E/F 是当前欧盟无线设备网络安全的核心依据，Michael Darby 的解读重点在于 “明确 scope（适用范围）” 与 “厘清责任边界”，解决制造商最易困惑的 “是否要做、做什么、谁负责” 问题。

• Darby 通过 “场景化案例” 替代 “抽象定义”，明确了三大条款的适用边界：

CRA 

▶ CRA 法规：2027 年后的 “系统性变革与合规逻辑重构”

▶ CRA（网络安全法）是欧盟网络安全合规的 “终极框架”，将取代 RED 的网络安全要求，Michael 与 Steve 的解读重点在于 “示 CRA 与 RED 的差异”“提前布局过渡期准备”，核心是从 “一次性测试” 转向 “全生命周期安全管理”。

A) CRA 与 RED 的 “本质差异”：从 “产品合规” 到 “生态合规”

B) CRA 的 “分级合规体系”：精准识别风险，避免 “一刀切”
CRA 的核心创新是 “按风险分级”，不同类别设备合规要求差异显著，制造商需先明确产品归属，再制定合规策略：

1. 默认类别（基础风险）：

适用场景：无敏感数据处理、无联网功能的简单设备（如普通蓝牙鼠标）；
合规要求：自我评估，符合基础安全标准（如默认密码强制修改），无需公告机构介入。

2. Class 1（中等风险）：
适用场景：联网但无高敏感功能的设备（如普通智能灯泡）；
合规要求：有协调标准则自我声明，无标准则需公告机构评估（如验证数据传输加密强度）。

3. Class 2（高风险）：
适用场景：含敏感组件（防篡改芯片、防火墙）、处理个人敏感数据的设备（如智慧门锁、医疗监护设备）；
合规要求：强制公告机构评估，需提供 “安全设计文文件”“漏洞响应流程”，且需定期提交漏洞报告。

4. 关键类别（极高风险）：
适用场景：涉及公共安全、关键基础设施的设备（如电网无线监控设备）；
合规要求：遵循欧盟 ANSSI（网络安全机构）制定的专项认证方案，需通过更严格的渗透测试、抗攻击测试。

C). 过渡期（2025-2027）的 “关键动作”：避免 “被动应对”CRA 合规需 “提前布局”，而非等待 2027 年生效，核心准备动作包括：

1、2026 年漏洞报告体系搭建（优先项）：

• CRA 要求 2026 年 9 月起，制造商需将漏洞信息上报至欧盟统一数据库，且需使用 CSAF（网络安全评估框架）格式实现 “机器可读”；

• 准备动作：建立 “漏洞监控团队”，对接开源漏洞库（如 CVE），制定 “漏洞分级响应流程”（如高危漏洞 24 小时内修复）。

2、SBOM（软件物料列表）管理能力建设：

• CRA 要求制造商掌握产品所有软件组件的来源、版本、供货商，以便快速定位上游漏洞（如某开源库存在漏洞时，可立即排查是否使用）；

• 准备动作：在研发阶段嵌入 SBOM 生成工具（如 SPDX 格式），与软件供货商签订 “漏洞告知协议”，确保上游漏洞及时同步。

3、RED 与 CRA 的 “合规衔接”：

• RED 下的 EN18031 标准测试（如数据加密、身份认证）可部分复用至 CRA，避免重复测试；

• 准备动作：留存 RED 测试的完整文档（如渗透测试报告、加密算法验证记录），作为 CRA 合规的 “前期证据”。

时间节点与过渡：CRA 部分义务（如漏洞报告）自 2026 年 9 月 11 日起生效，全面生效时间为 2027 年 12 月 11 日，届时 RED 的网络安全要求将终止，RED 授权法案预计同时废除。2027 年 12 月 11 日前，无线电设备需符合 RED 的安全、EMC、无线电及网络安全要求；之后，需符合 RED 的安全、EMC、无线电要求及 CRA 的网络安全要求，且相关合规声明需整合在同一 DOC 中。

适用范围与分类：CRA 适用于含数字组件（包括软件）的产品，范围远超无线电设备，涵盖纯有线设备、非嵌入式软件、非无线电组件等。设备分为预设类别（基础要求，自我评估即可）、1 类（无协调标准时需公告机构评估，有则可自我声明）、2 类（含防篡改微处理器、防火墙等，需公告机构评估）、关键类别（需遵循特定认证方案，可能由欧盟网络安全机构 ANSSI 制定）。