CRA 四档分类完全指南
Critical / Important Class II / Important Class I / Default —— 一篇文章讲清楚 26 类产品归档逻辑、关键判定边界、6 大权威判定案例与决策树。
为什么分类决定一切
CRA(Cyber Resilience Act,Regulation (EU) 2024/2847)的合规成本,几乎完全由产品被分到哪一档决定。
- 默认档(PDE):走 Module A,厂商自评 + 技术文档即可;
- Class I 重要产品:可以走 Module A(条件满足时),也可以走 Module B+C 或 H;
- Class II 重要产品:强制第三方公告机构介入(B+C 或 H);
- 关键产品:除强制 B+C/H 外,未来还要叠加 EUCC(EU 网络安全认证方案)。
分类标准来源于 Commission Implementing Regulation (EU) 2025/2392(2025-11-28 公布),它在 CRA 主法基础上把 Class I 从 14 类扩展到了 19 类,新增了 ASIC/FPGA、智能家居助手、智能家居安全、联网玩具、儿童/健康可穿戴 5 类。
四档总览
| 大类 | 类别数 | 评定基准 | 量化标准 | 默认评估模块 |
|---|---|---|---|---|
| 默认 PDE | — | 不匹配下列任何类的核心功能 | — | Module A(自评) |
| Class I 重要产品 | 19 | 核心功能匹配技术描述 | — | A(条件)/ B+C / H |
| Class II 重要产品 | 4 | 核心功能匹配 + 特定技术 | AVA_VAN ≥ 2 或 3 | B+C 或 H(强制) |
| 关键产品 | 3 | 核心功能匹配 + 特殊安全 | AVA_VAN ≥ 4 | B+C 或 H(强制)+ 未来 EUCC |
四档之外还有一条铁律:无论哪一档,都必须按 CRA Art. 13 做完整的产品级网络安全风险评估。这是底线,不是分类后才做的可选项。
关键产品(Critical · 3 类,Annex II)
关键产品要求最高,目前只有三类:
1. 带安全封装的硬件设备
包括物理支付终端、HSM(硬件安全模块)、符合描述的行车记录仪等。这些设备在物理上承担"保险箱"角色。
2. 智能电表网关 + 高级安全设备
电力 / 燃气 / 热力的智能电表网关。它们是公用事业基础设施的入口,被攻破后果极重。
3. 智能卡 / 安全元件
AVA_VAN ≥ 4 —— 这是 CRA 法规里出现的最高量化门槛。覆盖范围:
- TPM、嵌入式 UICC(eUICC);
- 身份证 / 旅行证件、合格签名卡、可更换 UICC;
- 物理支付卡、物理门禁卡、数字行车记录仪卡;
- 带支付安全元件的智能腕带。
Class II 重要产品(4 类)
| # | 类别 | 量化要求 | 关键示例 |
|---|---|---|---|
| 1 | Hypervisor + 容器运行时 | — | Type 1/2/Hybrid Hypervisor、嵌套虚拟化、容器运行时 |
| 2 | 防火墙 / IDS / IPS | — | 网络/应用防火墙(WAF)、反垃圾邮件网关、NIDS/HIDS |
| 3 | 防篡改微处理器 | AVA_VAN ≥ 2 或 3 | 在 Class I §13 基础上 + 防篡改证据/抵抗/响应 |
| 4 | 防篡改微控制器 | AVA_VAN ≥ 2 或 3 | 在 Class I §14 基础上 + 防篡改证据/抵抗/响应 |
Class II 的"防篡改"是关键修饰词 —— 普通微处理器走 Class I §13/§14,加了"防篡改证据 / 抵抗 / 响应"才升级到 Class II。
Class I 重要产品(19 类速览)
这是覆盖面最广的一档,几乎所有"和安全相关"的常见产品都在里面:
- 身份管理 / 特权访问管理(IAM / PAM)
- 独立与嵌入式浏览器(含带 AI 代理集成的浏览器)
- 密码管理器(本地 / 浏览器扩展 / 企业级 / 硬件)
- 防病毒 / 反恶意软件
- VPN(客户端 / 服务器 / 网关)
- 网络管理系统(含 SDN 控制器)
- SIEM(安全信息与事件管理)
- 启动管理器(UEFI 固件 / 单 / 多阶段 bootloader)
- PKI 与数字证书签发软件
- 物理与虚拟网络接口(Wi-Fi / 蓝牙 / Zigbee / vNIC 等)
- 操作系统(实时 / 通用 / 专用)
- 路由器 / 互联网调制解调器 / 交换机
- 带安全功能的微处理器
- 带安全功能的微控制器
- 新增:带安全功能的 ASIC / FPGA
- 新增:智能家居通用虚拟助手
- 新增:智能家居安全类产品(智能门锁、家庭安防摄像头、警报)
- 新增:联网玩具(Directive 2009/48/EC 项下)
- 新增:可穿戴 —— 健康监测 / < 14 岁儿童产品
默认 PDE:兜底逻辑
四档不命中的,全部走默认档:自评 + 技术文档 + Art. 13 风险评估。
但"不命中"≠ "随便对付"。CRA 要求:
- 把风险评估结果纳入技术文档;
- 实现"安全设计 + 安全默认"原则;
- 履行 Art. 14 的漏洞 / 严重事件报告义务(2026-09-11 起生效)。
6 个权威判定案例(Whereas 3–6)
这是 EU 法规文本里手动给出的"反例训练素材",AI 工具做归类时必须严格遵循:
| # | 场景 | 结论 | 出处 |
|---|---|---|---|
| 1 | 嵌入式浏览器集成到手机新闻 App | App 不按浏览器归类 | Whereas (3) p.2 |
| 2 | OS 自带计算器 / 绘图工具 | 仍按 OS 归类(Class I §11) | Whereas (4) p.2 |
| 3 | 集成浏览器的 OS / 集成防火墙的路由器 | OS 仍按 OS / 路由器仍按路由器 | Whereas (4) p.2 |
| 4 | SOAR 软件具备 SIEM 能力但核心不同 | SOAR 不按 SIEM 归类 | Whereas (5) p.3 |
| 5 | 智能手机含 OS + 密码管理器组件 | 手机不按 OS / 密码管理器归类 | Whereas (5) + FAQ §3.4 |
| 6 | 同样是 VPN,住宅 vs 关键基础设施 | 同属一类,仅风险评估强度不同 | FAQ §3.3 p.23–24 |
提炼出来就是四条元规则:
- 集成不传递:把重要 / 关键产品做组件嵌入更大产品,宿主不自动升档;
- 附加功能不否定核心:OS 带计算器 → 仍按 OS;
- 反向排除:有 X 能力但核心功能不是 X → 不按 X 归类;
- 必做风险评估:无论哪档都要做 Art. 13 评估。
决策树
产品进入判定
│
▼
┌─────────────────────────────────────────────┐
│ 核心功能匹配 Annex II 任一类?(+ AVA_VAN≥4) │
└──────────────┬──────────────────────────────┘
是 ↓ 否 ↓
关键产品 │
B+C/H 强制 │
未来 EUCC ▼
┌─────────────────────────────────────────┐
│ 核心功能匹配 Class II 任一类? │
│ (§3/§4 + AVA_VAN≥2/3) │
└──────────────┬──────────────────────────┘
是 ↓ 否 ↓
Class II │
B+C/H 强制 ▼
┌─────────────────────────────────────┐
│ 核心功能匹配 Class I 任一类? │
└──────────────┬──────────────────────┘
是 ↓ 否 ↓
Class I 默认 PDE
A(条件)/ Module A
B+C / H 自评即可
───────────────────────────────────────
⚠️ 无论哪一档,都必须做 Art. 13
完整产品网络安全风险评估
───────────────────────────────────────
总结
- 分档的核心是匹配 核心功能 而不是"看起来像什么";
- AVA_VAN 只在 3 个硬件子类里出现(Class II §3 / §4 与关键 §3),纯软件产品永远不用管 AVA_VAN;
- 决策顺序:关键 → Class II → Class I → 默认;
- 任何档位都要做 Art. 13 风险评估,差别只在评估模块(A / B+C / H)和是否需要公告机构。
法律源:Commission Implementing Regulation (EU) 2025/2392 of 28 November 2025;CRA 主法:Regulation (EU) 2024/2847。