工业网关出口欧盟：客户网络安全问卷与远程维护条款审查要点

# 工业网关 / 工业路由器 / 远程维护设备出口欧盟：客户文件预审资料清单

用途：用于企业在回复欧洲客户问卷、采购附件、网络安全条款、产品安全条款或责任条款前，先做内部资料准备和风险初筛。

适用产品：
- [ ] 工业路由器
- [ ] 工业网关
- [ ] PLC 连接设备
- [ ] 边缘计算盒子
- [ ] 远程维护模块
- [ ] 云监控硬件

一、客户已经发来的文件
- [ ] 客户 IT Security Questionnaire
- [ ] Cybersecurity Addendum
- [ ] SBOM request
- [ ] Vulnerability Disclosure Policy
- [ ] Remote Access Policy
- [ ] Purchase T&C

二、先确认的产品事实
- [ ] 产品是否支持远程登录、远程配置、远程升级或远程诊断？
- [ ] 是否存在默认账号、默认密码、硬编码密钥或出厂通用凭证？
- [ ] 安全更新支持期限是几年，客户能否要求免费延长？
- [ ] 是否能在 24 小时内报告所有漏洞，还是只能报告已确认的重大漏洞？
- [ ] 是否提供 SBOM；如果提供，披露范围、格式、接收方和保密条件是什么？
- [ ] 客户是否要求供应商赔偿因漏洞导致的停线损失、产线损失或第三方索赔？
- [ ] 客户是否要求审计源代码、渗透测试报告、漏洞扫描报告或安全开发流程？
- [ ] 产品是否通过无线通信、云平台或移动 App 与客户系统交互？

三、建议准备的资料台账
- [ ] 产品范围：型号清单、固件版本、无线模块说明（用于：避免客户把未销售或定制型号纳入承诺范围）
- [ ] 网络安全：漏洞披露流程、安全更新政策、事件响应流程（用于：支撑漏洞通知、补丁和安全支持承诺）
- [ ] 软件组件：SBOM 摘要、第三方组件清单、开源许可证记录（用于：回应 SBOM 请求，同时控制商业秘密和安全敏感信息）
- [ ] 远程访问：远程维护权限、日志、授权流程、访问控制说明（用于：限定远程维护责任和客户配合义务）
- [ ] 合规文件：CE DoC、RED/EMC/LVD 测试报告、技术文件（用于：支撑欧盟市场准入和客户问卷中的产品事实）

四、需要重点标注的合同风险
- [ ] Any vulnerability within 24 hours：过宽且不区分疑似/已确认漏洞；建议方向：改为重大、已确认、影响客户产品安全的漏洞，并设置初步通知和后续更新
- [ ] Unlimited downtime loss：把客户产线停机和间接损失转嫁给供应商；建议方向：排除间接损失和停线损失，或设置责任上限和可归责条件
- [ ] Full SBOM upon request：可能泄露组件、版本和安全敏感信息；建议方向：限定合理请求、接收方、用途、保密、格式和更新频率
- [ ] Remote access responsibility：客户账号、网络环境和操作权限可能不受供应商控制；建议方向：区分供应商设备缺陷、客户配置、第三方网络和客户授权操作

五、内部确认人
- [ ] 销售 / 客户经理：确认客户、订单阶段、回复期限和商业压力。
- [ ] 法务 / 合同负责人：确认采购合同、附件、责任限制和谈判空间。
- [ ] 研发 / 软件负责人：确认软件组件、固件版本、更新政策和漏洞处理能力。
- [ ] 质量 / 认证负责人：确认 CE、测试报告、技术文件、风险评估和召回流程。
- [ ] 供应链负责人：确认供应商声明、制裁、强迫劳动、下游追索和审计配合。

六、相关法规来源锚点
- Cyber Resilience Act
- Radio Equipment Directive
- RED cybersecurity delegated act
- Product Liability Directive

七、提交前提醒
- 避免在公开表单粘贴源代码、完整 SBOM、客户名单、价格条款或商业秘密。
- 避免直接承诺“所有法律”“所有漏洞”“所有召回”“全部供应链”“所有下游流向”。
- 正式法律意见应基于具体产品、客户文件、交易阶段和已有证据另行判断。

在线提交这个行业场景：
https://civcom.org/contact/?industry=industrial-gateway-router-remote-maintenance&source=download-checklist&checklist=industrial-gateway-router-remote-maintenance-pre-review-checklist

Last reviewed: 2026-06-14