艾体宝洞察 | CRA 合规冲刺指南：艾体宝 ONEKEY 独家报告首发，洞察全球企业合规进度！

随着欧盟《网络弹性法案》（CRA）合规期限临近，各企业正面临紧迫的合规挑战。然而，《2025年物联网和OT网络安全报告》调查揭示：仅 32% 的受访对象完全掌握 CRA 具体要求，已全面启动合规措施的企业比例更低至 14%。

这份由 ONEKEY 独家首发的报告以300家工业企业为调查样本，数据真实可考，反映了大部分企业在CRA合规进程中的真实状态与认知缺口。在法规实施的最后冲刺阶段，企业需加速行动，弥补法规认知与合规行动间的显著差距。

一、CRA 法规出台的背景

数字化浪潮的席卷下，物联网（IoT）、工业控制系统等数字技术广泛且深入地渗透到经济与社会生活的各个领域。然而，数字技术蓬勃发展的背后，网络安全问题也不容忽视。据德国联邦信息安全办公室（BSI）和联邦刑事警察局（BKA）统计，仅 2024 年德国因网络犯罪事件造成的总损失估计达 1786 亿欧元，同比增加 304 亿欧元，预计未来几年安全局势仍将继续恶化。

在这种背景下，欧盟推出《网络弹性法案》（CRA）。该法案是首个横跨整个 ICT 产品领域的强制性网络安全法规，其出台填补了欧盟在数字产品安全监管方面的空白。CRA直接适用于各成员国并将强制执行。首批义务将于2026年9月生效，全部要求于2027年正式实施。

届时，不符合CRA要求的物联网设备、机器和系统将退出欧盟市场。对于未能合规的企业，还将面临高达 1500 万欧元或全球年收入的 2.5% 的巨额罚款（以较高者为准），董事会成员、高管和其他责任方也将承担个人责任。尽管部分企业已着手实施CRA，但距离全面达成合规仍有较大差距。

二、CRA 法规的核心义务要求

CRA 法规对制造商和经销商分别提出了明确的要求：

根据 CRA 的要求，制造商必须从设计源头确保产品安全（遵循“安全设计”和“默认安全”原则），并确保产品在整个生命周期中持续满足 CRA 要求，包括防范未授权访问、保障数据完整性和机密性以及保证功能的可用性。同时，制造商还必须在24小时内向欧洲网络安全机构（ENISA）和相关国家计算机安全事件响应小组（CSIRT）报告正在被利用的漏洞，以及影响产品安全的严重安全事件。

此外，产品供应商必须定期发布安全更新以修复已知漏洞，确保持续的产品安全防护。这包括提供完整的书面产品文档，其中应包含软件物料清单（SBOM）以确保组件的透明度和可追溯性。鉴于产品开发周期通常跨越数年，许多企业的合规进度已然滞后。

三、CRA 法规的合规现状

认知程度不足

据《2025年物联网和OT网络安全报告》数据显示，只有不到三分之一 （32%） 的企业完全了解CRA的要求；有 36% 的企业曾调查但并未掌握；剩余27%的企业对CRA则是一无所知。

在这种前提下，成立专注于CRA合规的工作组的企业更是寥寥无几。28% 的受访企业已成立跨部门工作组；14% 的企业已设立专门团队以确保企业满足CRA的各项要求。然而，近三分之一（32%）的受访企业尚未为CRA设立任何工作组。

实施进度缓慢

报告显示，仅有 14% 的企业采取了全面的措施以确保其物联网设备、机器和系统符合 CRA 法规；有38% 的企业仅迈出初步合规步伐；其余企业未采取任何措施满足欧盟新规。

基于大部分企业对CRA合规尚未采取行动的现状，专为CRA制定合规政策的企业数量更是屈指可数。据统计，仅有15%的公司制定了专门针对CRA的合规政策。然而，超过三分之一（34%）的人认为他们的通用网络安全政策已经涵盖 CRA 的要求。与此同时，21% 的受访者根本没有将CRA纳入其合规框架。

近30%的企业受困于 SBOM

报告显示，CRA要求下企业面临的最大挑战是 “24 小时内报告安全事件” 的义务，其次是遵循“安全设计”和“默认安全”原则；另有 29% 的企业表示，“创建软件物料清单（SBOM），以及由此产生的‘对所有软件组件及其漏洞进行持续监控’的相关要求”，是其主要关切点。

软件物料清单 （SBOM） 是数字产品中包含的所有软件组件的结构化列表，包括程序库、依赖项和版本信息，本质上相当于软件的“零件清单”。它能提升软件透明度、加速漏洞管理流程，并且对快速响应安全事件不可或缺。若缺少SBOM，将难以判定特定安全漏洞是否影响相关产品。因此，建立标准化的 SBOM 流程是实现韧性固件安全的关键步骤，在生产环境中更是如此。

可喜的是，44% 的企业已经开始为其产品创建SBOM。然而，只有12%的企业完成了对其所有产品SBOM的创建，剩余32% 的企业的SBOM仅涵盖个别产品。还有25%的企业尚未启动此项工作，其余25%的人要么认为他们没有受到影响，要么仍然对相关责任不甚明晰。

安全责任分配不明确

当被问及由谁负责确保符合《网络韧性法案》要求时，各企业的回答呈现显著差异。调查数据显示：46%的企业由IT安全部门主导合规工作；21%由合规部门牵头；16%由法务部门负责。另有18%企业的最高管理层直接主抓此事，15%企业则将职责赋予产品开发部门。由此可见，在大多数情况下，企业很可能通过多部门协同的方式承担CRA合规责任。

具体负责的角色也呈现类似的分散态势。在审视负责任的角色时，也出现了类似的分散情况。18% 的企业将 CRA 合规性分配给产品经理，17% 分配给合规经理，15%分配给首席信息安全官（CISO），11% 分配给网络安全分析师，8% 分配给软件开发主管。由此看来，不同团队和角色之间的合规职责很可能存在交叉重叠。

四、行动建议

基于研究结果，我们为各企业提出以下关键建议：

• 夯实"安全设计/默认安全"基础

将联网设备、机械与系统的所有产品开发流程，全面贯穿网络安全原则，覆盖设计、开发、生产及维护全阶段。

• 建立透明度体系

唯有通过完整的软件物料清单（SBOM）、定期漏洞扫描及清晰的产品文档，企业才能达到 CRA 规定的透明度要求。

• 自动化安全合规培训

为履行CRA法案义务——尤其是报告要求以及在整个产品生命周期内保障网络安全的义务，必须建立定期（且理想情况下为自动化）的漏洞检测机制，这一过程还包括评估这些漏洞的相关性，并对检查结果进行记录存档。

• 明确责任归属

应设立具备物联网（IoT）/运营技术（OT）专业能力的产品安全负责人，并建议针对CRA法案要求清晰界定IT、OT及开发团队的职责分工。

• 能力培养提升（包括合作的外部伙伴）

专业培训、持续教育及与专业服务商的合作至关重要，这同时也是弥补专业人才短缺的有效途径。若缺乏外部支持与自动化解决方案的加持，企业将难以实现CRA全面合规。

面对CRA合规的紧迫挑战与能力缺口，企业必须立即将网络安全韧性提升至核心战略高度，化被动认知为主动出击。

唯有即刻行动，企业才能避免受到CRA的高额罚款、影响现有业务。唯有以“安全设计”为基石，以全面SBOM为引擎，打破部门壁垒，强化全员协同，共同构建符合 CRA 法规要求、更具市场竞争力的可信产品，将合规转化为数字时代的关键优势。