扫二维码关注摩尔实验室
了解行业最新资讯,为您的产品保驾护航
解答各种产品认证检测问题,为您的产品保驾护航
【摩尔资讯】欧盟拟废止RED网络安全授权条例2022/30, 统一纳入《网络韧性法案CRA》
2025-12-24 18:11:00 栏目:通讯专栏
核心导读
文章脉络/关键词:
网络韧性法案CRA、RED授权条例2022/30、欧盟网络安全法规、数字产品合规、无线电设备网络安全
内容摘要:
欧盟计划2027年废止RED网络安全授权条例2022/30,将其统一纳入《网络韧性法案CRA》。此举旨在消除监管重叠,为制造商提供更清晰的单一合规路径,标志着欧盟数字产品网络安全监管进入统一化新阶段。
AI 深度解读
欧盟此次法规整合反映了其数字治理策略的重大转型。背景上,RED 2022/30作为针对无线电设备的专项网络安全规定,与2024年通过的《网络韧性法案》在适用范围上产生交叉——CRA覆盖几乎所有带数字元素的产品,自然包含无线电设备,导致制造商面临双重合规负担。政策层面,这一废止决定体现了欧盟"统一框架、避免碎片化"的立法思路,将分散的行业规定纳入横向通用法规,降低企业的合规成本与法律不确定性。对制造商而言,需在2025年8月至2027年12月的过渡期内完成RED合规,同时提前布局CRA的符合性评估体系,尤其是关键产品和重要产品类别需关注公告机构认证要求。行业意义上,这标志着欧盟网络安全监管从"分业管制"迈向"产品全生命周期管理",为全球数字产品安全标准树立了新标杆,出口企业需建立更系统化的网络安全管理体系以应对2027年后的统一执法环境。
2025年12月10日,欧盟委员会发布了一份委派法规草案,就一项旨在废除RED网络安全授权条例(EU) 2022/30的倡议展开讨论。该法案计划自 2027年12月11日起正式废止RED网络安全《授权条例(EU) 2022/30》。此举旨在避免监管重叠,并为制造商提供更清晰、统一的网络安全合规路径。
监管框架升级:迈向统一规则
2024年10月,欧盟通过了具有里程碑意义的 《网络韧性法案》(Cyber Resilience Act, CRA, Regulation (EU) 2024/2847),该法案将于 2027年12月11日全面生效,适用于所有带数字元素的产品(包括无线电设备)。
值得注意的是:CRA 的网络安全要求已完全涵盖 RED 第3(3)条 (d)(e)(f) 项内容。 为避免双重合规义务、提升法律确定性,欧盟决定在 CRA 全面实施之日,同步废止 (EU) 2022/30。
过渡期安排
- 2025年8月1日 – 2027年12月10日:
投放市场的无线电设备仍须符合 (EU) 2022/30 的要求,市场监管机构可据此开展执法。 - 2027年12月11日起:
所有相关产品的网路安全要求将统一适用《网络韧性法案CRA》,RED 下的独立网络安全要求不再单独执行。
当前草案还处于公众咨询阶段,预计2026年初完成咨询后会被正式采纳并公布于OJEU,摩尔实验室将持续跟踪法案进展。
欧盟《网络弹性法案》(Cyber Resilience Act, CRA)是欧盟于2024年12月10日正式生效的首部针对数字产品强制性网络安全要求的立法,旨在通过统一标准提升欧盟市场数字产品的安全性,增强消费者和企业的信任度。
- 时间点:更具广泛影响力的CRA法案将于 2027年12月11日正式适用。
- 范围:远超RED,涵盖几乎所有“具有数字元素的产品”,包括硬件(如手机、路由器、智能家电)和软件(如操作系统、应用程序)。
- 产品分类:根据风险等级分为四类,其中“关键产品”和部分“重要产品”必须由公告机构进行符合性评估。
相关资讯:
【摩尔资讯】欧盟法规再升级!网络安全、通用充电器新规将如何影响您的产品?
常见问题
Q: RED授权条例废止后,无线电设备制造商需要重新认证吗?
A: 不需要重新认证。2027年12月11日前已按RED 2022/30要求投放市场的产品可继续流通,此后新投放产品统一适用CRA要求。制造商应在过渡期内熟悉CRA的分类标准和符合性评估程序,确保平稳切换。
Q: CRA与RED的网络安全要求有何具体差异?
A: CRA覆盖范围更广,涵盖几乎所有带数字元素的产品(包括硬件和软件),而RED仅针对无线电设备;CRA采用风险分级管理,关键产品和部分重要产品需公告机构介入,RED则无此分类;CRA强调全生命周期安全更新义务,要求更为系统。
Q: 企业应如何准备2027年的法规切换?
A: 建议分三步:首先梳理产品是否在CRA关键/重要产品清单中,确定认证路径;其次评估现有网络安全技术文档是否满足CRA的漏洞处理、安全更新等要求;最后关注2026年初正式公布的最终文本及协调标准,必要时提前与公告机构建立联系。
