2024年12月10日,欧盟《网络弹性法案》(Cyber Resilience Act,简称CRA)正式生效,法规编号(EU) 2024/2847。这是全球第一部对数字产品网络安全提出强制要求的横向法规,影响范围远超医疗器械本身。
但对医疗器械企业来说,CRA带来的困惑集中在一点:MDR和IVDR管辖的医疗器械到底是不是CRA的豁免对象? 答案不是简单的"是"或"否"。
本文不讲泛泛的CRA概念,而是聚焦医疗器械企业真正需要知道的部分:豁免的精确边界、CRA与现有法规的重叠、以及中国企业出口欧盟的实际合规路径。
豁免条款的精确解读
CRA第二条明确规定,已经受其他欧盟法规网络安全要求管辖的产品,在那些法规覆盖的范围内豁免于CRA。具体来说:
- 受MDR 2017/745管辖的医疗器械
- 受IVDR 2017/746管辖的体外诊断器械
- 受汽车法规(EU) 2019/2144管辖的车辆
- 受航空法规(EU) 2018/1139管辖的航空产品
- 受海事指令2014/90/EU管辖的海事设备
豁免的边界问题
医疗器械的豁免基于一个前提:MDR/IVDR已经包含了对该产品网络安全的要求。问题是,MDR于2017年通过时,网络安全要求远没有今天这么具体。
实际情况是这样的:
| 产品类型 | 是否CRA豁免 | 原因 |
|---|---|---|
| 传统无软件的物理器械(如手术刀) | 豁免 | 无数字元素,CRA本身就不适用 |
| 有嵌入式软件但无联网功能的器械 | MDR覆盖,CRA豁免 | MDR的通用安全与性能要求已覆盖 |
| 有联网功能的IIa/IIb/III类器械 | 大部分豁免,但需关注修订 | MDR附件I对网络安全有要求,但不够具体 |
| SaMD(独立软件医疗器械) | 复杂,需个案判断 | 如果仅作为医疗器械受MDR管辖则豁免;如果有非医疗用途功能则可能部分落入CRA |
| 伴随健康App的非医疗功能 | 不豁免 | 健康追踪、数据同步等非医疗功能不在MDR范围 |
| 医疗器械的远程数据处理方案 | 需个案判断 | CRA明确涵盖了"远程数据处理解决方案",如果该方案不是医疗器械本身的一部分,可能不豁免 |
欧盟委员会在2026年3月发布了CRA实施指南草案,征求公众意见,试图澄清产品范围界定、远程数据处理解决方案的适用性、开源软件的边界等核心问题。该指南特别关注了"FOSS"(自由和开源软件)何时构成"在市场投放",以及对开源软件管理方(steward)的义务限制。但截至目前,医疗器械和CRA的交叉地带仍有灰色区域。
正在收敛的MDR网络安全要求
欧盟正在推动的MDR/IVDR修订方案,预计将在网络安全方面向CRA看齐。2025年12月发布的修订提案(COM(2025)1023)中,已经包含了要求医疗器械制造商满足CRA对等网络安全标准的条款草案,目前正处于欧洲议会和理事会的立法审议阶段。这意味着:
- 即使现在豁免,未来MDR/IVDR可能引入与CRA对等的网络安全要求
- 医疗器械企业不应该因为"豁免"就忽视CRA的内容
- 提前按照CRA的标准建设网络安全能力,既为当前合规做准备,也为未来法规修订做准备
从立法逻辑来看,欧盟设计CRA豁免条款的本意不是让医疗器械企业降低网络安全标准,而是避免重复监管。如果MDR/IVDR修订后的网络安全要求与CRA实质对齐,那企业只需满足一套规则。问题在于这个"对齐"什么时候发生——在过渡期,企业需要同时关注两套体系。
CRA的两大时间节点
CRA设定了两个关键日期:
2026年9月11日——漏洞报告义务生效
从这个日期起,制造商必须向成员国计算机安全事件响应团队(CSIRT)和欧盟网络安全局(ENISA)报告:
- 已被积极利用的漏洞:发现后24小时内报告
- 严重事件:发现后72小时内报告
- 报告分三个阶段:初始通知(24小时)、事件进展(72小时)、最终报告(1个月)
这对医疗器械企业有什么影响?如果你的产品虽然受MDR管辖,但使用了某些不在MDR范围内的组件或远程数据处理方案,那么这些组件可能已经落入CRA的报告义务。2026年9月11日之前,企业需要确认自己在CRA下的报告义务。
2027年12月11日——全面合规要求生效
从这个日期起,所有在欧盟市场销售的数字产品必须全面符合CRA要求。主要义务包括:
- 安全设计(Security by Design):从产品开发阶段就嵌入网络安全措施
- 默认安全(Security by Default):产品开箱即有安全配置
- 软件物料清单(SBOM):维护并可供监管机构获取
- 漏洞管理:建立持续的漏洞识别、评估和处理流程
- 安全更新:在产品支持期内提供免费安全更新
- 技术文档:包含网络安全风险评估和合规证据
- CE标志:通过合格评定程序后加贴CE标志
CRA与FDA网络安全要求的对比
中国医疗器械出口企业通常同时面对FDA和欧盟两个市场。CRA与FDA在网络安全方面的要求正在趋同,但细节有差异:
| 维度 | EU CRA | FDA(2026年2月终稿指南) |
|---|---|---|
| 适用范围 | 所有含数字元素的产品(除非豁免) | 有网络安全风险的医疗器械 |
| 安全框架 | 推荐SPDF(安全产品开发框架) | 推荐SPDF,与QMSR整合 |
| SBOM要求 | 强制 | 强制(cyber device) |
| 漏洞报告 | 24小时向CSIRT/ENISA报告 | 通过MDR/ MedWatch报告 |
| 上市前审查 | 依据风险等级,部分需要第三方评估 | 包含在510(k)/PMA审查中 |
| 上市后更新 | 必须提供免费安全更新 | 通过PMS体系管理 |
| 合规标志 | CE标志(增加网络安全维度) | FDA已有的510(k)/PMA许可 |
一个关键的相似点是两者都推荐使用安全产品开发框架(SPDF)。这意味着如果企业已经按照FDA的网络安全指南建立了SPDF,大部分工作成果可以复用到CRA合规中。
中国医疗器械出口企业的合规路径
第一步:产品分类和范围判断(2026年Q3前完成)
- 列出所有出口或计划出口欧盟的产品
- 对每个产品判断:
- 是否有数字元素(软件、固件、网络连接)?
- 是否受MDR/IVDR管辖?
- 是否有超出MDR范围的功能(如非医疗的远程数据处理)?
- 根据判断结果,确定每款产品在CRA下的适用状态
第二步:建立漏洞报告能力(2026年9月前完成)
即使产品完全豁免于CRA,建立漏洞报告能力本身也是好实践。对不豁免的部分:
- 确定报告对象:找到产品目标市场的成员国CSIRT
- 建立内部漏洞发现和评估流程
- 制定24小时/72小时报告模板和审批流程
- 指定负责报告的内部团队或个人
第三步:差距评估(2026年Q4)
对照CRA附件I和附件II的要求,评估现有网络安全实践的差距。重点关注:
- 现有的威胁建模是否覆盖了CRA要求的攻击面
- SBOM的格式和完整性是否满足CRA要求
- 漏洞管理流程是否支持"积极利用的漏洞24小时报告"
- 技术文档中是否包含了CRA要求的网络安全内容
第四步:建设合规基础设施(2027年Q1-Q3)
根据差距评估的结果,建设或改进以下能力:
- SBOM管理工具:自动化生成和维护软件物料清单
- 漏洞扫描和管理:建立持续的漏洞监测和响应流程
- 供应链安全:向组件供应商收集安全文档和SBOM
- 技术文档更新:在现有MDR技术文档中增加CRA要求的部分
- 合格评定准备:确定适用的合格评定模块(A/B+C/H)
第五步:注册和合规(2027年Q4前)
- 在欧盟单一注册门户(SRP)上注册企业信息
- 完成合格评定程序
- 编制EU符合性声明
- 加贴CE标志
一个实操案例
以一家出口欧盟的联网监护仪企业为例:
该企业生产的病人监护仪具有Wi-Fi连接功能,可以将数据传输到医院的中央站。产品已通过MDR CE认证。同时,企业提供一个手机App,供患者家属远程查看部分数据。
在这个案例中:
- 监护仪本体:受MDR管辖,CRA豁免。但MDR的GSPR(通用安全与性能要求)要求考虑网络安全风险
- 手机App:如果该App被分类为医疗器械(很可能),则同样受MDR管辖,CRA豁免
- 远程数据传输服务:如果作为医疗器械的附属功能受MDR管辖,则豁免;如果被认定为独立的远程数据处理服务,则可能落入CRA
- 云端服务器:不在医疗器械定义内,如果处理来自欧盟用户的数据,可能落入CRA
2026年9月11日起,如果云端服务器或远程数据处理服务被认定为CRA管辖范围,企业需要对这些组件建立漏洞报告能力。
CRA的三类产品分级
CRA将产品分为默认、重要和关键三类,合规要求逐级提高:
| 分类 | 标准 | 合格评定方式 | 示例 |
|---|---|---|---|
| 默认(Default) | 不属于重要或关键类别 | 自我声明(Module A) | 普通IoT设备、简单的联网传感器 |
| 重要(Important) | 满足CRA第7条任一条件(如具有安全功能、处理敏感数据、连接儿童等弱势群体使用的产品) | 内部控制+第三方评估(Module B+C)或全质量体系(Module H) | 具有安全功能的联网设备、健康追踪App |
| 关键(Critical) | 满足CRA第8条条件(欧盟委员会指定) | 欧盟网络安全认证(如EUCC)为主,或全质量体系(Module H)作为备选 | 网络管理系统、智能计量网关、工业控制系统 |
对医疗器械企业来说,即使产品豁免于CRA,如果产品有非医疗功能的联网组件,这些组件可能需要根据风险等级确定合格评定方式。
与NIS2指令的关系
CRA不是欧盟唯一的网络安全法规。NIS2指令(Directive (EU) 2022/2555)也对医疗健康领域的组织提出了网络安全要求。两者的区别是:
- CRA管的是产品——确保投放市场的数字产品安全
- NIS2管的是组织——确保关键行业的运营者具备网络安全能力
医疗器械制造商可能同时受两个法规影响:CRA管你卖给欧盟的产品是否安全,NIS2管你作为企业的网络安全管理体系是否达标。
参考资源
- EU Cyber Resilience Act — Shaping Europe's Digital Future — 欧盟委员会官方CRA页面
- Cyber Resilience Act Full Text — Regulation (EU) 2024/2847 — 法规全文
- Hogan Lovells: EU Cyber Resilience Act Key 2026 Milestones — 2026年CRA合规关键节点
- FDA Premarket Cybersecurity Guidance (February 2026) — FDA网络安全上市前指南
- CRA Medical Device Compliance: What's Really Exempt — L4B Software关于医疗器械CRA豁免边界的分析
常见问题
Q1:我们的产品已经通过MDR CE认证了,还需要做CRA合规吗?
大多数情况下不需要——MDR管辖的医疗器械在MDR覆盖的范围内豁免于CRA。但如果你的产品有超出医疗器械定义的功能(如非医疗用途的远程数据处理),这些额外功能可能需要满足CRA要求。建议逐个产品进行适用性评估。
Q2:CRA的漏洞报告义务对医疗器械企业有什么实际影响?
如果你的医疗器械完全受MDR管辖,CRA的漏洞报告义务不直接适用于该产品。但MDR本身也有不良事件和现场安全纠正措施(FSCA)报告要求,如果网络安全漏洞导致了不良事件,你仍然需要通过MDR的警戒体系报告。建议将网络安全漏洞纳入现有的PMS和警戒体系。
Q3:SBOM的要求在CRA和FDA之间有冲突吗?
没有本质冲突。两者都要求维护软件物料清单,格式推荐使用SPDX或CycloneDX等国际标准。如果企业已经按照FDA要求编制了SBOM,基本可以直接用于CRA合规,可能需要补充一些CRA特有的字段(如组件支持期限)。
Q4:2027年12月前已经在欧盟市场销售的产品需要合规吗?
不需要立即合规。CRA只适用于2027年12月11日之后新投放市场的产品。但已经上市的产品如果在此后进行了"实质性修改"(substantial modification),修改后的版本需要满足CRA要求。此外,漏洞报告义务(Article 14)适用于所有在市场销售的产品,不论上市时间。
Q5:CRA对中小企业有宽限期吗?
没有宽限期,但有支持措施。CRA为中小企业和初创公司提供了指导文件、帮助台和简化的文档义务。企业规模不会改变合规义务本身,但可以降低合规的行政负担。
Q6:我们应该指定谁来负责CRA合规?
取决于企业规模和产品线复杂度。最有效的做法是指定一个跨职能的CRA合规团队,包括法规事务(负责合格评定和文档)、IT安全(负责漏洞管理和SBOM)、研发(负责安全设计)和供应链管理(负责供应商安全文档收集)。团队直接向质量负责人或法规事务负责人汇报。
本文仅供参考,不构成法律或监管建议。CRA的具体实施规则仍在持续更新,建议关注欧盟委员会和ENISA的官方发布。
相关文章
MDCG 2025-6解读:EU AI Act下医疗器械合规时间线与实操要点
MDCG 2025-6联合指引全文解读:MDAI定义、高风险分类、Digital Omnibus延期后的合规时间线、MDR整合评估流程,以及中国AI医疗器械企业的应对策略。
医疗器械设计控制与DHF设计历史文件完全指南:FDA QMSR与EU MDR双合规
系统解析医疗器械设计控制流程、V模型开发、DHF文件体系与FDA QMSR/EU MDR/NMPA三重合规要求,涵盖网络安全SBOM、AI/ML器械、IVD/IVDR、CAPA闭环,附实操模板、检查清单与常见审计发现。
联网医疗器械的网络安全与跨境数据:中美欧三方合规实战指南
解读FDA 2026年QMSR-aligned网络安全指南、欧盟MDR/AI Act/GDPR交叉要求、中国PIPL跨境数据传输规定,帮助中国联网医疗器械制造商构建统一的全球合规方案。