網路韌性法(CRA、EU 規則 2024/2847)

歐盟網路韌性法(CRA)|出口歐盟的台灣製造商實務指南

含數位元件的產品要在歐盟市場販售,CRA 直接落在台灣品牌廠與 ODM 代工廠頭上。第一個期限是 2026 年 9 月 11 日,全面適用於 2027 年 12 月 11 日。本頁整理適用範圍與罰則、歐盟端必須處理的實務,以及 ODM 出貨給歐洲品牌時義務究竟歸誰。產業界多以「網路韌性法」稱呼,媒體則常稱「資安韌性法」,兩者指同一部 EU 規則 2024/2847。

預約 45 分鐘免費諮詢 查看四階段交付內容
CRA 是什麼

歐盟針對投放市場數位產品的橫向規範

網路韌性法是 2024 年 12 月生效的 EU 規則 2024/2847,涵蓋幾乎所有含數位元件的產品(目前尚未發布繁體中文官方譯本,EUR-Lex 僅提供 24 種 EU 官方語言版本)。分兩階段實施,違規時以全球年度營業額計算罰則。

第 14 條生效
2026 年 9 月 11 日。被積極利用的漏洞 24 小時內預警、重大事件 72 小時通報、最終報告 14 天內送達 ENISA
全面適用
2027 年 12 月 11 日。投放歐盟市場的所有產品皆須符合附件 I 要求
罰則上限
最高 1,500 萬歐元或全球年度營業額 2.5%(取較高者)
安全更新義務
產品生命週期全期間,至少 5 年免費提供安全更新

官方條文目前以 24 種 EU 語言發布。CRA 的中文稱呼尚未統一,產業界(包括 數位發展部 週邊資料)多用「網路韌性法」,北美智權報、聯合新聞網等媒體則使用「資安韌性法」。

適用範圍

你的產品是否受 CRA 規範

含軟體或韌體、直接或間接投放歐盟市場的產品都在適用範圍。台灣網通、NAS、工控、IoT 幾乎全部落入。

路由器、交換器、網通設備
NAS 與網路儲存裝置
防火牆、UTM、IDS/IPS
工業路由器、工業閘道器、PLC
IP 攝影機與 IoT 感測器
供應歐洲品牌的嵌入式軟體產品

不確定時可用 CRA 適用性檢查工具 進行初步判定。

歐盟端實務

位於歐盟才做得了的三件事

以下實務單靠台灣本地的研發與品保團隊難以完成,需要歐盟時區與會員國語言的支援。我們本身不擔任授權代表,僅協助遴選(詳見 服務頁§服務範圍之外)。

  1. 歐盟會員國官方語言的技術文件翻譯。安全風險評估、EU 符合性聲明、使用者安全資訊必須以產品銷售所在會員國官方語言提供。以既有英文版本為起點,依販售計畫所列國家逐一進行翻譯與在地表達調整。
  2. 歐盟市場監督機關的問詢應對。歐盟各會員國市場監督機關會直接向製造商發送技術提問,首次回覆期限因國家而異,書面回覆會成為後續調查的前提資料。我們以 TWCERT/CC 既有的漏洞通報紀錄為起點,整理書面答覆的初稿。
  3. 歐盟授權代表的遴選協助。依 CRA 第 18 條,在歐盟無法人設立的製造商必須指定歐盟授權代表。我們不擔任此角色,只提供候選比較與合約審閱的觀點(本頁僅於此處聲明一次服務範圍之外)。
四階段交付的內容
評估 → 工作流整合 → 技術文件 → 持續營運的階段性產出物整理於 服務頁
既有認證與 CRA 的差距
BSMI、IEC 62443、ISO/IEC 27001、TAICS/MAS IoT 標章、SEMI E187/E188 與附件 I 的對照整理於 服務頁的對照表
台灣市場特有議題

ODM 出貨給歐洲品牌:CRA 義務歸誰?

台灣電子業最常問的問題。OEM、ODM、OBM 三種供應模式下,CRA 下的「製造商」是誰,SBOM 與漏洞通報的實際承擔者又是誰,答案並不對稱。

CRA 第 3 條第 13 款對「製造商」的定義是:以自己名稱或商標將產品投放市場的法人。台灣 ODM 為德國網通品牌生產路由器、由德國品牌以自家商標出貨時,CRA 下的製造商是德國品牌;德國公司只做通路代理、產品以台灣品牌出貨時,製造商則是台灣廠。但這不等於 ODM 毫無責任——CRA 第 13 條第 3 款對供應鏈元件供應商另有義務,ODM 必須提供 SBOM、漏洞資訊與安全更新承諾,否則品牌方無法完成自己的附件 VII 技術文件。

實務上的三種合約型態:

  1. 純 ODM、品牌出貨:歐洲品牌為 CRA 製造商,台灣 ODM 以供應商身分提供 SBOM、弱點揭露紀錄、更新流程承諾。合約層要處理的是品牌方「再包裝」的空間,例如 ODM 韌體是否允許被品牌方改寫、改寫後的通報責任歸屬。
  2. OBM 自有品牌外銷:台灣製造商是 CRA 製造商,必須完整負責附件 VII 技術文件、EU 符合性聲明、第 14 條 ENISA 通報、CRA 第 18 條歐盟授權代表指定。
  3. 混合出貨(品牌共掛):契約應明確指定哪一方為 CRA 製造商,避免雙重申報或雙方皆認定對方負責的空窗期。

漏洞通報路徑有兩條並行:一條是本地 TWCERT/CC 協調漏洞揭露政策,另一條是 ENISA 的歐洲漏洞資料庫(EUVD)。我們建議單一事件、雙軌輸出:同一份事件資料同時產出 TWCERT/CC 與 ENISA SRP 的通報,減少重工。主管機關方面,ODM 若需要跨部會協調,窗口會延伸到 數位發展部資通安全署經濟部國際貿易署 的歐盟貿易法規專區。

附帶一項台灣特有的競爭優勢:半導體設備產業同時持有 SEMI E187(半導體設備資通安全規範)與 E188(惡意軟體防護),兩份規範由 TSMC 與工研院主導制訂,其 SDL、日誌記錄、網路隔離、更新管理等條目與 CRA 附件 I 高度重疊(背景參見 iThome 對 SEMI E187 的產業報導)。Fab 設備廠在歐盟客戶面前,可以把 E187/E188 合格證據直接套進 CRA 技術文件,這不是普遍通用的便利。

貿易協定不能替代 CRA。台歐之間無自由貿易協定;即便有,CRA 作為產品合規規範,不會被任何關稅或通關協定取代。歐盟市場通路權利與 CRA 符合性是兩條獨立條件。
延伸閱讀

台灣製造商應優先看的四篇

預約評估前可先作內部盤點的主題指南。

產品分類

CRA 產品分類指南

依附件 III 與附件 IV 判定一般產品、重要產品 Class I/II、關鍵產品。自我評估可行性與第三方認證條件。

查看判定標準 網通與 IoT 品牌廠

網通/IoT 品牌廠的 CRA 實戰指南

路由器、NAS、防火牆、工控設備的 Class I/II 分類、第三方認證判斷、IEC 62443 既有認證的再利用機會。

查看分類邏輯 ODM 合約

台灣 ODM 的 CRA 合約生存指南

歐盟品牌對 ODM 必然提出的七項核心合約條款、SBOM 交付能力、通報時限、IEC 62443 差距再利用。

查看合約要點 整體路線圖

台灣製造業者出口歐盟完全指南

兩個截止日期的差異、SBOM、EU DoC、技術文件的實務路線圖,從今天到 2027 年 12 月。

閱讀路線圖
CRA Evidence 平台

同時提供英文 SaaS 平台

CRA Evidence 不只是顧問服務。我們也提供英文 SaaS 平台,集中管理 SBOM、HBOM、漏洞處理、VEX、附錄 VII 技術文件與稽核證據。台灣廠商通常應先透過諮詢釐清產品分類、歐盟出貨模式、既有認證差距,再決定採用顧問支援、平台導入,或兩者並行。

預約 45 分鐘免費諮詢 查看英文平台
常見問題

台灣廠商最常問的前三題

完整問答整理於 台灣製造商 FAQ

公司在台灣,CRA 仍然適用嗎

是。含數位元件的產品投放歐盟市場時,CRA 不因製造商所在地而免除,對歐盟境外廠商沒有整體豁免。

閱讀完整回答

透過歐盟經銷商出貨,責任歸誰

視上市模式決定。以歐盟客戶自有商標出貨的 OEM 結構下,CRA 製造商是該客戶,但台灣原廠仍須在合約上承擔 SBOM 與漏洞資訊提供期限。細節整理於 ODM 章節與專文。

閱讀完整回答

主要期限與罰則上限為何

2026 年 9 月 11 日起須依第 14 條向 ENISA 進行 24 小時預警與 72 小時完整通報;2027 年 12 月 11 日全面適用。罰則上限為 1,500 萬歐元或全球年度營業額 2.5%(取較高者)。

閱讀完整回答

位於歐盟本地的顧問公司,總部 Oviedo, 西班牙(Senda Tech Solutions S.L., 2026 年成立)。公司資料整理於 關於我們

先從 45 分鐘免費諮詢開始

45 分鐘內釐清產品的 CRA 分類與主要差距,不收費也不帶後續義務。

預約 45 分鐘免費諮詢