CRA 适用性 3 分钟自查:你的产品需要做合规吗?
Art. 2 三条累积条件 + 六类豁免 + 时间豁免 + 7 题决策树 + 边缘案例。先搞清楚要不要做,再讨论怎么做。
不是所有数字产品都要做 CRA
收到客户问 CRA 的第一反应往往是"我们也得做"。但真把 Regulation (EU) 2024/2847 Art. 2 翻一遍就会发现,有 6 大类产品根本不在范围内,还有一类卡时间窗口可以免做大头。
这篇文章帮你 3 分钟跑完决策树。
CRA 适用性 = 三个累积条件
Art. 2(1) 一句话:
CRA 适用于"在欧盟市场投放的、含数字元素的、具有数据连接能力"的产品。
拆成三条必须同时成立的条件:
| # | 条件 | 法律依据 | 通俗解释 |
|---|---|---|---|
| ① | 是「带数字元素的产品」(PDE) | Art. 3(1) | 软件 / 硬件 + 其远程数据处理方案(含独立组件) |
| ② | 在欧盟市场「投放」 | Art. 2(1) + Blue Guide §2.3 | 在欧盟销售 / 分发,不是仅自用 |
| ③ | 预期或合理可预见的使用包含数据连接 | Art. 2(1) + Art. 3(8)(9)(10) | 物理(USB / 以太网 / Wi-Fi / BT / NFC)或逻辑(API / Socket)、直接或间接 |
只要 3 条里有 1 条不成立,就不在 CRA 范围。
六类豁免详解
1. 缺连接性而完全豁免(FAQ §1.3 p.10)
FAQ 给出的 5 条逐字示例就是判定基准:
| # | 产品 | 关键判据 |
|---|---|---|
| 1 | 带嵌入式固件但无连接能力的洗碗机 | 无网络连接 |
| 2 | 带嵌入式固件但无连接能力的基础计算器 | 无网络连接 |
| 3 | 仅播放预录灯光声效的电子玩具 | 无网络连接 |
| 4 | 通过控制面板设定的咖啡机 | 无网络连接 |
| 5 | 仅无线充电站的电动牙刷 | 仅无线充电 |
2. 非市场投放 / 自用(FAQ §1.5 p.11)
"Placing on the market is considered not to take place where a product is manufactured for one's own use."
✅ 厂商自研用于自己产品开发的工具,未对外售卖 → 不在 CRA 范围。 ⚠️ 若后续将这些工具作为独立产品投放 → 自动纳入。
3. 测试用途(Art. 4(3) + FAQ §1.6 p.11–12)
✅ Alpha / Beta / RC 等测试版软件,需同时满足:
- 仅限测试期间;
- 有明显标识"不合规、仅供测试";
- 不强迫用户升级到测试版;
- 仍应尽可能进行风险评估和漏洞处理。
4. 国防 / 国家安全 / 涉密(Art. 2(7) + FAQ §1.8 p.12)
✅ 专门并完全为国防 / 国家安全 / 涉密信息处理开发或修改的产品 → 豁免。 ⚠️ 军民两用(dual-use)产品 → 不豁免,只要进入民用市场就要遵守 CRA。 ⚠️ 成员国仍可针对其国内使用增加额外要求(Art. 5(1))。
5. 已被其他欧盟立法覆盖(FAQ §1.9 p.13)
CRA 不想做"重复合规",把 6 个领域整体让给了其他垂直法规:
| # | 豁免领域 | 适用法规 |
|---|---|---|
| 1 | 医疗器械 | Regulation (EU) 2017/745(MDR) |
| 2 | 体外诊断器械 | Regulation (EU) 2017/746(IVDR) |
| 3 | 机动车辆与挂车 | Regulation (EU) 2019/2144 |
| 4 | 民用航空器(EASA 认证) | Regulation (EU) 2018/1139 |
| 5 | 船舶设备 | Directive 2014/90/EU + Reg. (EU) 2025/1533 |
| 6 | 二/三轮车与四轮车(除 L1e 类带踏板) | Reg. (EU) 168/2013 + Delegated Reg. 2025/1535 |
6. SaaS / 网站 / 云服务(FAQ p.8)
| 情形 | 是否纳入 |
|---|---|
| 独立 SaaS / 与硬件无关的纯云服务 | ❌ 不在(受 NIS2 / Data Act 管) |
| 网站 / SaaS 是某 PDE 的"远程数据处理方案"(不可或缺) | ✅ 纳入 |
| 仅"支持"PDE 功能、但 PDE 没它也能跑 | ❌ 不在 |
判断关键词:不可或缺(integral)。
时间豁免:盯紧两个关键日期
CRA 的两个关键日期:
- 2026-09-11:Art. 14 漏洞 / 严重事件报告义务启用;
- 2027-12-11:CRA 全面适用。
| 投放时间 | 是否适用 CRA |
|---|---|
| 2027-12-11 前投放且后续未做重大修改 | ❌ 整体不适用 |
| 2027-12-11 前投放,之后有重大修改 | ✅ 重大修改起适用 |
| 2027-12-11 后投放 | ✅ 全面适用 |
| 任何时点投放 + 在用且发生活跃利用漏洞 / 严重事件 | ✅ Art. 14 报告义务追溯适用 |
官方案例(FAQ p.10):
- 2027 中投放智能电视 → 不需要合规;
- 2028 发布漏洞修复补丁(非重大修改)→ 仍不需要合规;
- 2029 发布更新启用"控制智能家居"功能(修改原始预期功能 = 重大修改)→ 必须使电视合规于 CRA。
7 题决策树
Q1: 是 PDE?(软件 / 硬件 + 远程数据处理) [Art. 3(1)]
否 → 豁免(非 PDE)
是 ↓
Q2: 在 EU 市场投放?(不是仅自用) [Art. 2(1) + Blue Guide §2.3]
否 → 豁免(自用)
是 ↓
Q3: 预期 / 可预见使用含数据连接? [Art. 2(1) + Art. 3(8)(9)(10)]
否 → 豁免(无连接)
是 ↓
Q4: 是否专门且完全为国防 / 涉密? [Art. 2(7)]
是 → 豁免(国防)
否 ↓
Q5: 是否落入 6 大已覆盖领域? [FAQ §1.9]
(MDR / IVDR / 汽车 / 航空 / 船舶 / 二三四轮车)
是 → 豁免(已覆盖) ⚠️ 组件可能仍纳入
否 ↓
Q6: 2027-12-11 前投放且无重大修改? [Art. 69]
是 → 部分豁免(仅 Art. 14 报告义务)
否 ↓
Q7: 仅作测试用途且有明显标识? [Art. 4(3)]
是 → 临时豁免
否 ↓
✅ 必须过 CRA → 进入分类判定
5 个最容易踩的边缘案例
案例 1:家用 ISP 路由器
✅ 纳入。属于 Class I §12(路由器 / 调制解调器 / 交换机),需要走 Module A 或 B+C/H。即便 ISP 提供,制造商仍是 CRA 责任主体。
案例 2:内部企业软件 / 自研运维工具
✅ 如果只在公司内部使用、不对外发布 → 走"非市场投放 / 自用"豁免。 ❌ 一旦作为独立产品或服务对外销售(含集团内 B2B 收费)→ 纳入 CRA。
案例 3:纯 SaaS(不绑硬件)
❌ 不在 CRA 范围。受 NIS2 和 Data Act 监管。 ✅ 但如果 SaaS 是某 PDE 的"远程数据处理方案"(缺它产品就跑不起来)→ 纳入。
案例 4:医疗器械里的通信模块单独销售
⚠️ 医疗器械整机走 MDR 豁免;但其通信模块、固件等单独投放市场时纳入 CRA(FAQ p.15)。
案例 5:2027-12 前发布的智能家居,2028 推 OTA 升级
⚠️ 看升级性质:
- 安全补丁 → 仍豁免;
- 启用全新功能(比如新增"控制其他设备") → 重大修改 → 必须合规。
自查清单(打勾即过关)
按顺序问自己:
- ☐ 我的产品是 PDE(含软件、硬件、或硬件 + 远程数据处理方案)?
- ☐ 我会在 2027-12-11 之后在 EU 市场销售它?
- ☐ 它有任何形式的数据连接能力(直接 / 间接、物理 / 逻辑)?
- ☐ 它不是专门完全为国防 / 涉密设计?
- ☐ 它不落入 MDR / IVDR / 汽车 / 航空 / 船舶 / 二三四轮车 6 大豁免?
- ☐ 它不是仅作测试用途?
6 条全打勾 → 你需要做 CRA,下一步去分类判定看你属于哪一档。
任意一条没打勾 → 你可能整体豁免或部分豁免,但仍建议看 Art. 14 漏洞报告义务是否落到你头上。
一图记住
- 要过 CRA:在 EU 卖 + 有数字元素 + 有连接 + 不在 6 大豁免 + 2027-12-11 后投放或重大修改。
- 可能不用过 CRA:自用 / 无连接 / 国防专用 / MDR/IVDR/汽车/航空/船舶/二三四轮车 / 2027-12-11 前投放且无重大修改 / 测试样品。
- 永远绕不开:Art. 14 漏洞报告义务,对范围内的所有产品追溯适用。
法律源:Regulation (EU) 2024/2847(CRA) + 欧盟委员会官方 FAQ。