自信应对欧盟《网络弹性法案》(CRA)

安全专业知识 30+ 年积累

安全功能 5,000+ 产品

安全创新 200+ 专利

意法半导体已做好充分准备，在遵守CRA法规的同时，全程助力客户实现合规。

什么是欧盟《网络弹性法案》？

欧盟《网络弹性法案》是一部法规，针对所有在欧盟市场销售的包含数字元件的产品，规定了强制性网络安全要求。意法半导体提供完整的解决方案、专家的专业指导和经过验证的认证，助力客户更快、更高效地实现CRA合规。

CRA规定的制造商义务

安全设计

产品必须从设计之初就确保安全，最大限度地减少网络安全漏洞，有义务执行风险评估

符合性

通过自行评估或第三方评估验证产品是否符合基本要求，出具欧盟符合性声明并加贴CE标志。

漏洞处理

建立漏洞处理流程及机制，报告已被积极利用的漏洞

维护

在产品停止销售后，提供至少5年的技术支持，提供至少10年的安全更新

意法半导体对CRA合规的承诺

意法半导体正依据《网络弹性法案》(CRA) 原则，对产品开发和生命周期流程进行监控，并在必要时进行调整。

随着CRA协调标准的持续演进（相关成果预计于2026年第四季度发布），我们正密切关注其进展，并积极参与标准化及行业工作组，以确保我们的方案与不断演变的监管框架保持一致。

此策略基于意法半导体长期积累的安全专业知识、既有认证以及成熟的漏洞管理流程制定。

意法半导体如何助力客户满足CRA要求

采用安全设计的产品

意法半导体提供能够满足CRA基本要求（附录I第I部分）的产品
(通用标准、SESIP、PSA、ISO 21434) 体现系统化安全方案
提供产品分类支持以及符合性评估指南

符合性文件及支持

意法半导体旨在基于全面质量保证体系（模块 H）开展符合性评估
提供完备的技术文档与安全生态系统
通过文档、网络研讨会和技术资源，为客户提供支持

已确立的漏洞处理流程

设立安全应急响应团队 (PSIRT)，遵循ISO/IEC 29147、30111标准开展协同漏洞披露
采用DevSecOps方案，将安全性融入产品的整个生命周期
自动进行漏洞检测与软件组成分析

维护

在既定支持期内持续提供安全更新，为产品提供长期支持
为部分产品提供安全配置与更新机制

CRA实施时间表

2024年12月10日

发布CRA最终文本

2026年6月11日

公告机构框架投入运作

2026年9月11日

报告义务开始生效

需在24小时和72小时内报告漏洞

2027年12月11日

合规监管全面启动

在欧盟市场销售的所有包含数字元件的产品，都必须符合基本要求

2024年12月10日

发布CRA最终文本

2026年6月11日

公告机构框架投入运作

2026年9月11日

报告义务开始生效

需在24小时和72小时内报告漏洞

2027年12月11日

合规监管全面启动

在欧盟市场销售的所有包含数字元件的产品，都必须符合基本要求

意法半导体获得的认证

安全认证

通用标准 (EUCC)
EMVCo
SESIP
PSA认证
ISO 21434（汽车网络安全）

流程认证

ISO 9001
ISO 27001
TISAX（汽车网络安全）

其他后续流程

ISO/IEC 29147：漏洞披露
ISO/IEC 30111：漏洞处理流程

欧盟无线电设备指令 (RED) 与CRA

欧盟无线电设备指令 (RED) 2014/53/EU对投放在欧洲市场的无线电设备进行了规范。RED于2022年进行了修订，相关网络安全要求自2025年8月1日起生效，强制规定制造商保护网络接口和用户数据，并实施漏洞管理流程。RED专门面向具备无线电功能的设备，是对《网络弹性法案》的有力补充。

意法半导体提供的CRA和RED相关资源

文档	类型
STM32无线解决方案助力从容应对欧盟新的安全法规	网络研讨会	查看
应对欧盟新的安全法规	社区	查看
新的物联网安全标准（SESIP 3级）	白皮书	查看
借助STM32Trust应对欧盟新的安全法规	网络研讨会	查看
让欧洲安全法规合规化繁为简	网络研讨会	查看
深入探讨CRA	Wiki	查看
CRA问答	Wiki	查看
深入探讨RED	Wiki	查看
RED安全性问答	Wiki	查看

意法半导体提供的CRA和RED相关资源

STM32无线解决方案助力从容应对欧盟新的安全法规

网络研讨会

查看

应对欧盟新的安全法规

社区

查看

新的物联网安全标准（SESIP 3级）

白皮书

查看

借助STM32Trust应对欧盟新的安全法规

网络研讨会

网络研讨会

Wiki

Wiki

Wiki

Wiki

Read less

意法半导体提供的CRA和RED相关资源

文档
STM32软件安全策略问答	Wiki	查看
STM32Trust software security policies	Wiki	查看
嵌入式安全解决方案及产品意法半导体安全产品组合概述，内容涵盖STM32Trust、STSECURE产品、安全元件、认证（PSA、SESIP、通用标准）以及后量子加密计划。	应用	查看
STM32Trust安全框架详细介绍STM32Trust面向MCU和MPU的12项安全功能、支持的认证（PSA、SESIP、通用标准EAL5+）及其对安全标准的符合性。	生态系统	查看
STSECURE - 安全MCU产品组合提供全系列安全微控制器，适用于支付、身份识别、认证、物联网及汽车应用。	产品	查看
安全硬件平台详细介绍意法半导体的安全微控制器、通用标准认证 (EAL6+)、EMVCo 合规性以及硬件安全特性。	平台	查看
嵌入式Linux的安全性借助STM32MP1和STM32MP2在嵌入式Linux上有效保障安全：面向当今决策者的3条重要启示	博文	查看

意法半导体提供的CRA和RED相关资源

STM32软件安全策略问答

Wiki

查看

STM32Trust software security policies

Wiki

查看

嵌入式安全解决方案及产品
意法半导体安全产品组合概述，内容涵盖STM32Trust、STSECURE产品、安全元件、认证（PSA、SESIP、通用标准）以及后量子加密计划。

应用

查看

STM32Trust安全框架
详细介绍STM32Trust面向MCU和MPU的12项安全功能、支持的认证（PSA、SESIP、通用标准EAL5+）及其对安全标准的符合性。

生态系统

查看

STSECURE - 安全MCU产品组合
提供全系列安全微控制器，适用于支付、身份识别、认证、物联网及汽车应用。

产品

查看

安全硬件平台
详细介绍意法半导体的安全微控制器、通用标准认证 (EAL6+)、EMVCo 合规性以及硬件安全特性。

平台

查看

嵌入式Linux的安全性
借助STM32MP1和STM32MP2在嵌入式Linux上有效保障安全：面向当今决策者的3条重要启示

博文

查看

Read less

合作伙伴资源

合作伙伴	文档
Avnet Silica	欧盟《网络弹性法案》- 对OEM的影响及合规之道重点关注：搭载Arm Cortex M33内核的STM32H573器件，符合SESIP 3级标准的安全管理器信任根	查看
EBV	无线电设备指令 (RED) 与网络弹性法案 (CRA) – 对MCU相关网络安全应用的影响就RED和CRA对MCU相关网络安全应用的影响举行的专题会议。	查看

合作伙伴资源

Avnet Silica

欧盟《网络弹性法案》- 对OEM的影响及合规之道
重点关注：搭载Arm Cortex M33内核的STM32H573器件，符合SESIP 3级标准的安全管理器信任根

查看

EBV

无线电设备指令 (RED) 与网络弹性法案 (CRA) – 对MCU相关网络安全应用的影响
就RED和CRA对MCU相关网络安全应用的影响举行的专题会议。

查看

Read less

支持

我们的全球安全专家团队随时准备助您应对CRA要求并部署合规的解决方案。

联系意法半导体在线支持中心

如需帮助或有任何不便公开的问题，可以通过我们的在线支持门户提交案例并跟踪工单。

提交案例

跟踪工单

加入意法半导体社区

在这里，您可以找到问题的答案，并与同行及意法半导体专家分享见解。参与讨论帖、阅读知识库中的文章，或通过学院的在线课程提升您的技能。

意法半导体社区

报告潜在的产品安全漏洞

如果您要报告与我们的产品相关的潜在安全漏洞，建议您按照本页面上所述步骤向意法半导体PSIRT报告。

访问PSIRT页面

常见问题

《网络弹性法案》(CRA) 是欧洲的一部网络安全法律，旨在提高互连数字元件的安全性。该法律的摘要已向公众发布，详细内容请见此处。

CRA适用于所有包含互连数字元件的产品，通过规定在开发生命周期中产品和流程的强制性要求来增强安全性。产品根据其对安全性的影响进行分类。受现行强制性应用安全法规监管的产品不在适用范围之内。

2024年12月生效。漏洞报告义务自2026年9月起开始生效。2027年12月必须完全合规。

意法半导体获得流程和安全认证的组件，可构成经第三方验证的安全证据，从而显著缩短CRA认证的时间，降低其成本。

意法半导体通过在线社区论坛、应用工程、培训计划和网络研讨会提供全方位支持。

自信应对欧盟《网络弹性法案》(CRA)

什么是欧盟《网络弹性法案》？

欧盟《网络弹性法案》是一部法规，针对所有在欧盟市场销售的包含数字元件的产品，规定了强制性网络安全要求。意法半导体提供完整的解决方案、专家的专业指导和经过验证的认证，助力客户更快、更高效地实现CRA合规。

CRA规定的制造商义务

安全设计

符合性

漏洞处理

维护

意法半导体对CRA合规的承诺

意法半导体如何助力客户满足CRA要求

采用安全设计的产品

符合性文件及支持

已确立的漏洞处理流程

维护

CRA实施时间表

意法半导体获得的认证

安全认证

流程认证

其他后续流程

欧盟无线电设备指令 (RED) 与CRA

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

合作伙伴资源

合作伙伴资源

支持

联系意法半导体在线支持中心

加入意法半导体社区

报告潜在的产品安全漏洞

常见问题

什么是欧盟《网络弹性法案》(CRA)？

意法半导体的哪些产品应受CRA监管？

CRA合规的时间安排是怎样的？

意法半导体的认证如何帮助客户实现CRA合规？

意法半导体为CRA的落地实施提供哪些支持？

自信应对欧盟《网络弹性法案》(CRA)

什么是欧盟《网络弹性法案》？

欧盟《网络弹性法案》是一部法规，针对所有在欧盟市场销售的包含数字元件的产品，规定了强制性网络安全要求。意法半导体提供完整的解决方案、专家的专业指导和经过验证的认证，助力客户更快、更高效地实现CRA合规。

CRA规定的制造商义务

安全设计

符合性

漏洞处理

维护

意法半导体对CRA合规的承诺

意法半导体如何助力客户满足CRA要求

采用安全设计的产品

符合性文件及支持

已确立的漏洞处理流程

维护

CRA实施时间表

意法半导体获得的认证

安全认证

流程认证

其他后续流程

欧盟无线电设备指令 (RED) 与CRA

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

意法半导体提供的CRA和RED相关资源

合作伙伴资源

合作伙伴资源

支持

联系意法半导体在线支持中心

加入意法半导体社区

报告潜在的产品安全漏洞

常见问题

什么是欧盟《网络弹性法案》(CRA)？

意法半导体的哪些产品应受CRA监管？

CRA合规的时间安排是怎样的？

意法半导体的认证如何帮助客户实现CRA合规？

意法半导体为CRA的落地实施提供哪些支持？

订阅ST新闻通讯