1.1. 什么是CRA？

1.2. 提前應對CRA有哪些技術參考標準？

目前CRA的協(xié)調標準正在制定中，預計2026年8月份之后完成通用標準的制定。在2026年8月份之前，避免“被動應對”CRA 合規(guī)，需“提前布局”，而非等待 2027 年生效，行業(yè)普遍將IEC 62443（工業(yè)自動化控制系統(tǒng)安全）、ETSI EN 303645、EUCC等通用標準視為重要技術參考標準，提前評估，這樣可以更好的提前應對CRA合規(guī)，助力搶占安全先機。

所以，在CRA過渡期間，制造商需要做好如下應對措施：

1）針對無線電產品，符合RED-DA范圍內的產品，嚴格按照RED-DA的要求合規(guī)。

2）符合具有數字元素并能直接或間接連接到設備或網絡的產品，立刻對照IEC 62443（62443-4-1、62443-4-2）、ETSI EN 303645、EUCC的合規(guī)要求，找出差異點，并修復差異點，提前應對CRA的合規(guī)要求。

3）找第三方安全檢測機構開展專業(yè)的評估。目前信測標準具備IEC 62443（62443-4-1、62443-4-2）、ETSI EN 303645、EUCC標準的評估能力，生成專業(yè)的測試報告和差異點分析報告。其中ETSI EN 303645具備CNAS資質。

1.3. 62443可以更好提前應對CRA：

IEC 62443具備非常科學的安全體系框架。這和CRA的理念和目標一致。所以可先重點從IEC 62443（62443-4-1、62443-4-2）標準要求出發(fā)，找出差異點，更好的應對CRA的合規(guī)要求。

下面是針對IEC 62443解讀。以便更好的應對和理解關于CRA對安全設計、安全生命周期管理等的核心內容要求。

IEC 62443是針對工業(yè)自動化與控制系統(tǒng)（IACS）提出的“縱深防御”防護體系，是一系列的體系標準，目的是構建 “設計 - 實施 - 管理 - 維護”全流程安全框架的體系安全保護堡壘，標準覆蓋開發(fā)、部署、運行到退役各環(huán)節(jié)。

1.4. IEC 62443角色定義

(1) 資產所有者：資產所有者指的是那些擁有和運營工業(yè)自動化和控制系統(tǒng)(IACS)的公司或組織。

(2) 系統(tǒng)集成商：系統(tǒng)集成商指的是提供系統(tǒng)集成和維護服務的公司。

(3) 產品供應商：產品供應商指的是那些開發(fā)和制造用于工業(yè)自動化和控制系統(tǒng)(IACS)的組件，包括硬件和軟件產品的公司，即平時所說的設備廠商。

1.5. IEC 62443體系剖析

IEC 62443共分為四大部分，分別是：

(1) 通用(IEC 62443-1-x)：涵蓋術語、概念、模型、縮略語、系統(tǒng)符合性度量及安全生命周期等內容，為理解和實施標準提供基礎。適用于所有 IACS 相關企業(yè)或角色。

(2) 政策和規(guī)程(IEC 62443-2-x)：規(guī)定IACS安全管理系統(tǒng)(SMS)的要求、實施指南、補丁更新管理以及資產所有者和服務提供商的安全程序(SP)要求。

(3) 系統(tǒng)(IEC 62443-3-x)：提供系統(tǒng)安全要求、安全等級定義、安全風險管理以及區(qū)域(Zone)和管道(Conduit)劃分的指導。含等級劃分、風險評估、“區(qū)域 - 管道” 分段策略。

(4) 組件(IEC 62443-4-x)：包含兩份文件，IEC 62443-4-1規(guī)定安全產品開發(fā)生命周期要求，IEC 62443-4-2規(guī)定系統(tǒng)組件的技術安全要求。

1.6. IEC 62443角色和標準體系的主要關系

在實施過程中，每個企業(yè)都可根據自身的角色定位，選擇合適的子標準來實施合規(guī)或者提升工業(yè)自動化與控制系統(tǒng)的安全能力：

(1) 資產所有者?？梢圆捎玫淖訕藴拾? IEC 62443-2-1，IEC 62443-2-3，IEC 62443-2-4，IEC 62443-3-2，IEC 62443-3-3。

(2) 系統(tǒng)集成商?？梢圆捎玫淖訕藴拾? IEC 62443-2-1，IEC 62443-2-3，IEC 62443-2-4，IEC 62443-3-2，IEC 62443-3-3。

(3) 產品供應商?？梢圆捎玫淖訕藴拾?IEC 62443-4-1，IEC 62443-4-2，IEC 62443-3-3，IEC 62443-3-2。

IEC 62443-4-1（安全產品的開發(fā)生命周期）是產品供應商的核心標準和依據，產品供應商首先要獲得4-1的認證，意味著產品供應商首先要建立安全產品的開發(fā)聲明周期管理體系。4-1包含8大類內容，分別是：

1. SM：Security management（安全管理，核心實踐是明確責任與目標）

2. SR：Specification of security requirements（安全要求的規(guī)范，核心實踐是轉化為具體要求）

3. SD：Secure by design （設計安全，核心實踐是融入架構）

4. SI：Secure implementation（安全實施，核心實踐是落實方案）

5. SVV：Security verification and validation testing（安全驗證和驗證測試）

6. DM：Management of security-related issues（安全問題管理，核心實踐是漏洞響應）

7. SUM：Security update management（安全更新管理，核心實踐是補丁計劃）

8. SG：Security guidelines（安全指南，核心實踐是用戶手冊）

這8大類標準內容中，每個大類下又分為多個小類。每個小類通過成熟度模型滿足這些需求的基準。

成熟度模型共有5個級別（ML1~ML5）：

1. ML1 - Initial（初始級）：產品供應商可以提供產品，不過沒有依照流程，沒有文件或是只有部分文件。

2. ML2 - Managed（已管理級）: 產品供應商可以依照文件化的準則來管控產品的開發(fā)。準則的敘述方式需要讓進行該程序的人有適當的專業(yè)知識，訓練人員依照文件中的程序作業(yè)，程序需要是可重復的。

3. ML3 - Defined（已定義級）：程序在供應商的組織內是可以復制重現的。程序已實做過，而且有已實做過的證據。

4. ML4 & ML5 - Improving（改進級）：供應商用適合的程序評量方式來監(jiān)控程序的有效性及效果，并且進行持續(xù)改善。

每個成熟度等級的評定，必須要求4-1的所有需求大于等于所評定的級別。成熟度等級ML2表示公司已建立SDLC流程，成熟度等級ML3表示公司已經將SDLC流程應用到實際產品中。

IEC 62443-4-2（組件的技術安全要求）是產品供應商的核心標準和依據，產品供應商獲得4-1的認證之后，方可申請獲得4-2的認證。4-2包含如下內容：

以上每個安全大類均定義了多個CR和RE（增強）來映射到不同的安全級別SL中，安全級別越高，安全需求要求也越高。IEC 62443-4-2中定義了四種安全級別SL，如下：

那么CR和RE如何映射不同的SL安全級別呢？舉例如下：

上面截圖所示，當要達到安全級別3級，需要同時滿足CR 1.1、RE(1)的要求。當要達到安全級別4級，需要同時滿足CR 1.1、RE(1)、RE(2)的要求。