先看清三个生效日期

法规(EU)2024/2847,即《网络韧性法案》,于2024年公布后生效。第71条设定了分阶段适用日期。第14条自2026年9月11日起适用。第四章涵盖通知和合格评定机构,自2026年6月11日起适用。法规整体自2027年12月11日起适用。

第14条包含制造商关于被积极利用的漏洞和影响含数字元素产品安全的严重事件的报告义务。法规本身是权威来源;本页面是技术规划指导,非法律意见。

工程团队不能等到 2027 年

只关注2027年全面适用日期的团队,可能错过更早开始执行的报告义务。报告准备也绝不只是增加一个收件邮箱。制造商必须能识别可能需要报告的事件,在时间压力下收集可靠事实,明确由哪个法律实体作出决定,保存证据,并避免在沟通过程中引入新的安全或隐私风险。

早期日期还改变了工程优先级。产品清单、受支持版本、漏洞接入、事件遥测、客户联系路径和PSIRT归属需要在可报告事件发生前就运转起来。

CRA是否适用,需要结合定义、范围、排除项、主体角色和过渡条款判断。第14条主要针对含数字元素产品的制造商;进口商、分销商、开源软件管理者和其他参与方的责任,则由法规其他条款规定。

IoT设备制造商、联网产品软件团队、在范围内产品上线的平台提供商、法务和合规团队、安全响应团队、客户支持和高管事件负责人应共同评估适用性。技术团队不应从博客摘要中决定法律范围。

把报告路径建起来并实际演练

为组织的产品和角色获取法律解释。将每个在范围内产品映射到制造商实体、受支持版本、已部署组件、联系人和事件响应流程。将漏洞报告、产品遥测、供应商通知和客户升级连接到一个分诊路径。

定义谁来判断证据是否表明被积极利用或严重事件、谁授权每个通知阶段、以及在主要负责人不可用时谁能行动。保存时间戳、受影响版本、利用证据、缓解措施和决策记录。在事件工作流中保持数据最小化和访问控制。

用真实场景演练流程。演练应包含信息不完整、供应商依赖、多个产品版本、周末、客户沟通以及初始报告的更正。确认可访问所需报告机制和当前官方指南。

工程团队应使已部署版本和组件清单可查询。如果组织无法将脆弱组件关联到已出货固件和受影响客户,仅有一份SBOM是不够的。

不要将每个软件缺陷都声明为可报告。是否合格取决于法规和事实。不要等到完全确定才启动升级时限,但也不要从扫描器发现中自动触发外部法律通知。

不要“以防万一”收集过多个人数据。不要在协调披露和缓解计划之前发布可利用的细节。不要假设安全邮箱、漏洞披露策略或现有NIS2流程自动满足CRA产品义务。

让流程始终对应现行指引

跟踪欧盟委员会和ENISA关于报告平台、通知流程、模板和解释的官方材料。保持该监测的法务归属明确;工程师不应在事件期间才了解到流程变更。同时审查供应商和开源协调合同,因为制造商可能需要在报告时限内从另一方获取事实。记录每次演练使用的官方指南版本。 每当官方流程变更时重新测试工作流。 保留每次已完成演练的证据。

上述适用日期直接来自第71条。对第14条的描述是对法规的高层次解读。工作流建议属于IoT 01分析。在特定事件中的适用性、报告内容、接收方、时限以及与后续实施指南的交互需要当前的法律和官方建议。

使用下方链接的EUR-Lex文本并监测欧盟委员会和ENISA指南。如果官方报告程序或实施法案改变了运营预期,此信号应在计划日期之前审查而非默默保留旧的工作流。