欧盟《网络韧性法案》(CRA):现状、文档以及实现自身合规的组件
首批 CRA 义务将于 2026 年 9 月生效,全面合规义务将于 2027 年 12 月开始。时间紧迫,许多制造商还远未准备就绪。我们提供与产品相关的文档、SBOM、威胁模型和验证固件启动(Verified Firmware Boot),作为您合规性评估的输入。
欧盟《网络韧性法案》规定,带有数字元素的产品必须提供网络安全证明:首批报告义务自 2026 年 9 月起生效,全面要求自 2027 年 12 月起执行。对于 IO-Link 设备制造商而言,在最坏的情况下,这意味着需要为每个产品建立自己的 CRA 文件、附件 I 映射、SBOM 流程和威胁模型。TEConcept 通过提供产品相关文档、SBOM、威胁模型和技术组件作为您自身合规性评估的输入,从而减轻了这一工作量。
我们的哪些产品可能与 CRA 相关?
《网络韧性法案》适用于在欧盟市场提供的带有数字元素的产品。这既包括完整的硬件或软件产品,也包括单独提供的组件。因此,对于客户而言,关键在于 TEConcept 产品所扮演的角色:是作为自有最终产品中的软件组件、开发或测试工具、模块、参考设计,还是作为内部开发和测试策略的一部分。
角色分离: 最终成品的合规声明由相应的成品制造商负责。TEConcept 为此提供产品相关文档、SBOM、威胁模型和技术组件,作为技术文档和客户自身 CRA 合规性评估的输入。
按产品组划分的 CRA 相关性
| 产品组 | 典型的客户应用 | CRA 相关性 |
|---|---|---|
| IO-Link 协议栈: 设备栈、主站栈、 安全设备栈、安全主站栈 | 客户定制 IO-Link 设备或主站中的软件组件 | 如果协议栈成为在欧盟市场提供的带有数字元素产品的一部分,则可能与 CRA 相关。 |
| 固件和安全组件: 例如验证固件启动(Verified Firmware Boot) | 用于固件安全更新、完整性和真实性的技术安全功能 | 如果最终产品需要证明具有防篡改保护、安全更新机制或完整性保障等功能,则可能与 CRA 相关。 |
| 诊断和测试系统: IO-Link 诊断工具、IO-Link Spy、设备测试仪、主站测试仪、物理层测试仪、EMC 测试主站/设备、安全主站测试仪 | 工程、实验室、服务或审计背景下的测试、诊断或开发工具 | 根据提供和使用方式的不同,可能与 CRA 相关。此外,这些工具可以帮助以可追溯的方式记录开发和测试过程。 |
| 开发工具和模块: COD 设备仿真器、1 端口 USB-C 主站、1 端口主站模块、4 端口主站模块 | 开发工具、评估平台、模块或集成组件 | 如果产品单独提供、集成到最终产品中或作为产品解决方案的一部分使用,则可能与 CRA 相关。 |
| 客户定制集成与服务 | 项目相关的定制、移植、安全集成、文档支持 | 可以支持客户产品的 CRA 合规性,但不能取代最终制造商的最终合规性评估。 |
不确定哪种产品角色适用于您的情况?
我们提供什么,以及最终制造商负责什么
TEConcept 为其自身产品和组件提供结构化的 CRA 文件,作为您技术文档的输入。根据产品的不同,这包括 SBOM、映射、威胁模型和安全相关功能的技术说明。最终产品的最终风险评估、系统集成、技术文档和欧盟合规声明仍由最终产品制造商负责。
TEConcept 提供哪些 CRA 组件
对于与 CRA 相关的 TEConcept 产品和组件,我们提供可纳入您自身技术文档和合规性评估的产品相关文件和技术组件。最终产品的最终评估和合规声明仍由相应的最终制造商负责。
用于您合规性评估的 CRA 文档包
包含 CRA 相关要求结构化分类的产品相关供应商文档,包括与附件 I 的功能对比。该软件包作为您技术文档的输入,不能替代您最终产品的合规声明。
软件物料清单 (SBOM)
适用于 TEConcept 产品和软件组件的 CycloneDX 格式 SBOM。它们支持软件组件的透明度,并可集成到您自己的产品文档、供应链和漏洞管理流程中。
IO-Link 组件的威胁模型
针对 CRA 相关 TEConcept 组件的基于 STRIDE 的威胁模型,符合 IO-Link 安全设计与开发指南。它支持在您的产品集成背景下对典型威胁、保护措施和残留风险进行可追溯的评估。
CRA 就绪咨询
在技术安全措施的分类和实施方面提供项目相关支持:安全启动、固件签名验证、调试接口加固、SBOM 集成、文档结构以及针对审计或客户要求的准备。
索取示例:索取 SBOM 示例或 CRA 文档包模板。
验证固件启动:IO-Link 固件的完整性保护
CRA 以功能化的方式制定了技术要求:带有数字元素的产品应受到保护,防止未经授权的更改,支持安全更新机制,并维护安全相关功能的完整性。验证固件启动(Verified Firmware Boot)作为 IO-Link 设备的技术组件解决了这一领域的问题:该组件检查固件是否真实,以及在签名后是否未被更改。
产品组合新增: 验证固件启动,这是我们 IO-Link 设备引导加载程序(Bootloader)的一个附加组件。该组件在每次启动和每次固件更新时,通过加密方式验证设备固件的真实性和完整性。TEConcept 的实现采用了基于 NIST-P-256 曲线的 ECDSA。只有使用合法制造商私钥签名的固件才能在 IO-Link 设备上进行烧录和运行。其中包含一个用于自动生成签名 IOLFW 文件的 Python 脚本。该 Python 脚本也可以单独购买。
根据要求的可选服务:移植到您的目标硬件和替代 MCU 系列,与您的 PKI 或 HSM 集成,以及工作流培训。
验证固件启动具体细节:索取数据表,或在 30 分钟内确认该组件是否符合您的固件更新策略。
IO-Link 社区安全指南
我们的方法基于 IO-Link 社区发布的两个安全文档:《IO-Link 安全部署指南》(V1.0.0,2025 年 6 月)和 《IO-Link 安全设计与开发指南》(D1.0.0-01,2025 年 10 月)。这两个文档均可在 www.io-link.com 获取。它们在 IEC 62443 框架内定义了 IO-Link 设备的安全架构,并将安全等级 SL-C 1 设定为嵌入式 IO-Link 现场设备的适当目标。
时间表和后续步骤
SBOM 现已上市,验证固件启动也将很快加入产品组合。我们将按产品逐步推出 CRA 文档包和威胁模型。如果您有正在进行的审计或具体的时间压力,请直接与我们联系。
《网络韧性法案》何时生效?
针对被积极利用的漏洞和严重安全事件的首批 CRA 报告义务自 2026 年 9 月起生效。针对带有数字元素产品的一系列全面要求自 2027 年 12 月起生效。因此,制造商应尽早准备技术文档、SBOM 流程、漏洞管理和安全证明。
哪些 IO-Link 产品可能受 CRA 影响?
如果 IO-Link 产品作为带有数字元素的产品在欧盟市场提供,或者作为软件或硬件组件进入此类产品,则可能与 CRA 相关。关键在于产品角色、提供方式、集成情况以及在最终产品中的使用。
什么是 SBOM?
SBOM(软件物料清单)是产品或组件中软件组成部分的结构化列表。它支持供应链的透明度,并帮助制造商识别和评估所用软件组件中的已知漏洞。
验证固件启动对 CRA 合规性有什么作用?
验证固件启动通过加密检查 IO-Link 设备固件的真实性和完整性来支持 CRA 合规性。由此可以证明,只有经合法制造商签名且随后未被更改的固件才会被烧录和执行。
谁负责 CRA 合规声明?
最终成品的 CRA 合规声明由该成品的制造商负责。TEConcept 提供产品相关文档、SBOM、威胁模型和技术组件,作为客户技术文档和合规性评估的输入。
每个 IO-Link 设备都必须具有安全启动或签名固件更新吗?
CRA 以功能化的方式规定了技术要求,并不一定指明特定的实现方式(如 ECDSA、NIST P-256 或具体的安全启动程序)。制造商必须选择合适的措施,以适当实施并记录防篡改保护、安全更新和完整性保障等要求。
TEConcept 如何减少 CRA 文档的工作量?
TEConcept 通过提供 SBOM、映射、威胁模型和安全相关功能的技术说明等产品相关文件来减少工作量。客户无需完全自行开发这些信息,而是可以将其集成到自己的技术文档和评估中。
有疑问或具体的咨询需求?
- +49 761 21443640
- +49 761 21443636
- info@teconcept.de
请直接联系我们。我们将在 30 分钟内明确哪些 TEConcept 组件在您的情况下可能与 CRA 相关,以及哪些组件可以为您节省工作量。