ENISA 组织研讨会：EUCC 或成 CRA 认证重要途径！

        CRA 作为欧盟强化数字设备网络安全的重要法规，规定自 2028年1月起，所有在欧盟单一市场销售的带有数字元素的产品，必须满足特定网络安全标准，涵盖从消费电子到工业设备等广泛范围，旨在确保产品在整个生命周期内，或至少五年内，能够抵御网络攻击和数据泄露风险。而 EUCC 认证计划于 2025 年 2 月 27 日正式生效，属于 2019 年网络安全法下的欧盟网络安全认证框架，其目标是协调整个欧盟对 ICT 解决方案网络安全水平的认可，为 ICT 产品和服务提供统一认证机制，确保其符合欧盟内部高安全标准，涵盖硬件、软件及信息处理服务，从而促进跨国界数字产品和服务的安全使用，提升消费者和企业的信任度。

       6 月 3 日，欧洲网络与信息安全局（ENISA）组织了关于 EUCC 与 CRA 的全球系列网络研讨会，吸引了众多业内人士参与。会议聚焦于基于欧洲共同标准的网络安全认证计划和 CRA 之间的相互作用。研讨会上，专家深入剖析了 CRA 与 EUCC 在法律地位、技术能力等多方面的要求，得出两者高度一致的结论，尤为引人注目的是，EUCC 认证机构（CABs）经小幅调整后，便可同时作为 CRA 发布机构，这一发现为两者的融合发展开辟了新路径。会上还重新梳理了 CRA 与 EUCC 的时间点，进一步明确了关键时间节点。

        具体来看，CRA 的基本安全要求与 EUCC 技术要素也存在紧密对应关系：

        专家指出，EUCC 与 CRA 互通将采取一系列重要举措。在认证标准扩展方面，EUCC 认证将通过 PP 扩展以覆盖 CRA 要求，并优先更新关键产品的 PP，确保产品认证标准与 CRA 的规定紧密契合。在评估范围扩大上，将扩大 TOE 范围，纳入更多组件进行评估，或通过安全功能间接证明非 TOE 部分受到保护，全面提升产品整体安全性评估的准确性。针对远程数据处理等特殊情况，将补充合规证明，借助协调标准（如 ISO 27001）来证明 CRA 合规性，丰富合规证明的手段和途径。

图源：ENISA 全球系列网络研讨会

        总体而言，随着 CRA 生效日期日益临近，EUCC将成为企业获取 CRA 许可的有效途径。相关企业应充分重视，提前布局。鉴于认证过程复杂且耗时，企业需尽快梳理自身产品与服务，对照 EUCC 和 CRA 要求，制定详细的认证计划，尽早启动认证申请流程，以确保在法规生效前顺利通过认证，保障产品在欧盟市场的合规销售与稳定发展。后续我们也将持续关注，即时更新最新信息。