欧盟委员会于2026年3月3日发布了《网络弹性法案》(CRA,法规EU 2024/2847)的适用指南草案,该文件虽暂以英文发布,但为机械、设备及电气产品的制造商提供了关键的实操指引。CRA首次构建了覆盖产品全生命周期的统一欧洲网络安全规则,其核心影响在于将网络安全从“附加项”转变为机电产品合规的“必选项”,尤其对涉及嵌入式软件和联网技术的工业领域提出了全新挑战。
指南首要厘清了“投放市场”的法律定义。无论是定制单机还是批量产品,每一台设备均被视为独立产品,其投放市场的时间点直接决定合规义务。在软件层面,独立软件一经提供即视为投放市场,而嵌入设备的控制软件或固件则随硬件一同评估;仅当软件版本发生“实质性变更”时,才触发新的投放市场义务。这意味着,常规的安全补丁或维护更新通常不改变产品属性,但功能扩展或架构调整则可能使旧设备被视为“新产品”。
对于机电行业而言,CRA最显著的特征是坚持“软硬一体”的监管逻辑。只要设备依赖软件实现核心功能(如PLC控制)、需通过软件更新维持运行(如远程维护App、驱动程序),或具备联网能力(含通过网关的间接连接),即被纳入监管范围。相反,仅传输纯电信号而无数据交互的传统设备则被排除在外。这一界定将大量具备物联网功能的工业设备、带远程运维系统的生产线纳入合规视野。
针对工业设备常被视为“复杂系统”的特点,指南采取了风险导向的评估方法。制造商需系统性地评估网络安全风险,即便受限于老旧系统( Systems)无法完全满足所有技术指标,也必须履行透明度义务,详细记录技术限制并实施补偿性保护措施。对于存量设备,虽无需强制重新开发,但必须进行事后网络安全评估,证明现有措施有效,并完成CE认证、技术文档及漏洞管理流程的合规化。
在设备改造(Retrofit)与升级场景中,区分“实质性变更”成为关键。若变更导致用途改变、引入新风险或影响安全功能,该设备将被视为新投放市场,原改造方需承担制造商责任并重新进行合规评估;而常规维护、同规格部件更换或安全补丁更新则不在此列。这要求企业在进行设备现代化改造时,必须提前进行网络安全影响评估。
对德国及欧洲机电行业而言,CRA标志着从“功能安全”向“功能安全+网络安全”双轨并行的范式转变。鉴于欧洲在工业4.0和智能制造领域的领先地位,其法规往往具有全球风向标意义。对于中国机电企业,尤其是计划拓展欧洲市场的制造商,必须将网络安全设计前置到研发阶段,建立覆盖全生命周期的漏洞响应机制,并重新审视存量产品的合规状态,避免因忽视“软实力”合规而遭遇市场准入壁垒。
