近期，歐盟委員會正式發布文件（C(2026) 778 final），宣布自2027年12月11日起廢除RED網絡安全授權法規（(EU) 2022/30），由《網絡彈性法案》（CRA）全面接管；其中漏洞上報等核心義務將于2026年9月率先強制實施。對出口歐盟的軟硬件企業而言，這是強制要求項且無關產品類型，違規者最高可面臨全球營業額2.5%的罰款！

本文將深度拆解CRA框架下漏洞管理與披露的核心規則、上報時限、實操流程，助您快速落地合規。

一、漏洞上報要求

CRA圍繞產品全生命周期設定了嚴格的合規要求，其中關于漏洞上報的核心規定如下：

● 接收漏洞與事件上報企業發現主動被利用漏洞或嚴重安全事件，第一時間上報給本國CSIRT。

● 跨境信息分發通過歐盟統一平臺，把風險同步給其他成員國，防止漏洞跨歐擴散。

● 協調漏洞披露指導企業走“協同漏洞披露”流程，避免信息亂公開造成更大危害。

● 對接市場監管把風險信息同步給監管機構，支撐合規檢查與處罰。

二、哪些漏洞必須報？哪些漏洞不用報？

根據CRA第14條第1款，制造商一旦知悉產品中存在已被實際利用的漏洞，必須通過ENISA（歐盟網絡安全局）統一上報平臺進行多層上報。以下情形需強制上報：

● 有公開POC/攻擊工具，且已被惡意利用的漏洞

● 技術社區披露、有證據正在被黑客攻擊的漏洞

● 廠商自研發現的0day漏洞，且確認已被利用

● 安全調查中發現、導致嚴重安全事件的漏洞

未被實際利用的漏洞，不要求上報。以下情形無需上報（常規自查修復即可）：

● 僅掃描發現、無實際利用條件的漏洞

● 漏洞獎勵計劃（SRC）中普通/低危漏洞

● 內部研究、未被利用的潛在漏洞

● 業務邏輯缺陷（無遠程利用可能）

三、上報流程與時限

所有出海企業需建立安全事件響應團隊（PSIRT）和漏洞接收通道，并要求企業發現被利用的漏洞 / 嚴重事件后：

● 24小時內：向ENISA提交早期預警；

● 72小時內：提交詳細通報（含緩解措施）；

● 14天內：提交最終修復報告。
 

四、24小時“生死線”：企業如何快速完成漏洞上報？

根據CRA第14條、第16條，漏洞上報的核心機制是：通過ENISA建設的“CRA統一上報平臺”（CRA Single Reporting Platform，簡稱CRA-SRP）進行一次上報，系統會自動將通知同步發送至對應的成員國CSIRT以及ENISA。該平臺預計于2026年9月上線。

在此之前，企業需建立好相應的報告機制：

1. 確認你的歐盟授權代表與所屬成員國，上報平臺會自動匹配對應國家CSIRT。

2. 梳理產品是否在CRA范圍內，聯網硬件、軟件、IoT、智能設備基本都覆蓋。

3. 搭建漏洞監測與上報流程，確保24小時內能觸發預警。

4. 等待統一平臺上線正式入口，將在2026年9月前由ENISA公布。

如上述準備工作未能按時完成，一旦在2026年9月之后發生被實際利用的漏洞，且企業無法在24小時內完成上報，可能觸發最高1500萬歐元或全球營業額2.5%的巨額罰款（以較高者為準）。

關于CRA法案：

《網絡彈性法案》（Cyber Resilience Act，簡稱CRA，法規編號(EU) 2024/2847）是歐盟于2024年12月10日正式生效的強制性網絡安全法規，旨在為所有進入歐盟市場的 “帶有數字元素的產品（products with digital elements, PDEs）” 設定統一安全標準。其核心邏輯是將安全責任從消費者轉移至制造商：要求產品從設計、研發到退市的全生命周期都具備“網絡彈性”，從源頭杜絕安全漏洞，徹底改變過去 “重功能、輕安全” 的行業現狀。

CRA的覆蓋范圍非常廣泛，只要產品包含軟硬件且能直接/間接連接網絡，無論企業總部是否在歐盟，都需合規。

● 硬件產品：智能手機、筆記本電腦、智能家居設備、智能手表、聯網玩具、微處理器、防火墻、智能電表網關等

● 軟件產品：操作系統、手機App、會計軟件、電腦游戲、后臺服務、庫文件等

● 嵌入式與物聯網設備：MCU/CPU/SoC/ECU/Tbox等嵌入式組件、可聯網的工業設備等

● 例外豁免：以下產品不適用CRA——已有專門法規覆蓋的行業（醫療器械、汽車及車載組件、航空設備、航海設備、國防與國家安全產品）、非商業性質的開源軟件、純SaaS產品（但需納入NIS2指令管理）

沃特建議：

距離2026年9月不足半年，如果您的產品屬于CRA管轄范圍，請務必立即開始內部評估和準備工作。后續我們也會持續更新CRA最新政策、漏洞統一上報正式入口、高風險產品合規指南等關鍵信息。

沃特檢驗集團是一家具備CNAS、CMA資質的專業第三方檢測機構，技術實力雄厚，檢測經驗豐富。我們可依據CRA要求，提供專業的合格評定與合規支持服務，助力企業高效完成合規布局。歡迎咨詢沃特，深入探討交流~