CRA 第 14 條：2026 年 9 月台灣製造商的 24 小時漏洞通報義務

2026 年 9 月 11 日起，向 EU 市場供應產品的製造商，必須在知悉遭積極利用的漏洞後 24 小時內向 ENISA 通報。

對台灣業者來說，第一個問題往往不是「怎麼通報」，而是「這是誰的義務」。台灣是全球最大的 ODM／OEM 基地。當歐盟品牌以自身名義在 EU 銷售產品時，法律上的製造商是品牌商，不是代工廠。但代工廠透過合約，仍要在更短時間內把 SBOM 與漏洞資料交到品牌商手上。

還有一個多數人忽略的事實：第 14 條不只管 2027 年 12 月以後的新產品。今天已經在 EU 市場流通的產品，從 2026 年 9 月 11 日起同樣要通報。

本文說明第 14 條的兩類通報義務、台灣代工與自有品牌的責任分界、現有產品的適用範圍，以及生效日前該完成的準備。

CRA 第 14 條要求什麼

CRA（歐盟規則 2024/2847）第 14 條對含數位元件產品的製造商，設下兩類向當局通報的義務。兩類都透過第 16 條建立的 ENISA 單一通報平台（SRP），同時送達 ENISA 與擔任協調者的 CSIRT。

**平台實務提醒（2026 年 6 月）。**ENISA 表示將於 2026 年 6 月內公布 SRP 的存取手冊、註冊流程說明，以及訓練與預演（dry-run）資料。預期可在 2026 年 9 月 11 日大限之前先行確認註冊流程並進行演練，不必等到最後一刻（截至 2026 年 6 月 2 日仍為「預定公布」，尚未上線）。此外，現階段 SRP 並未提供 API；製造商可於內部先備妥資料，但通報本身仍以手動方式提交。在依賴任何特定步驟前，請先至 ENISA SRP 官方頁面確認最新狀態。

兩類通報事項

一、遭積極利用的漏洞。 指有可信事證顯示，惡意行為者在未經系統擁有者許可下，實際利用了該漏洞。漏洞被公開、或研究人員私下回報，都還不構成通報事項；要件是實際遭到利用。（第 3 條第 42 項）

二、嚴重資安事件。 指影響或可能影響產品保護敏感或重要資料、功能的可用性、真實性、完整性或機密性的事件；或導致、可能導致惡意程式碼被植入或執行於產品本身、或使用者網路與資訊系統的事件。（第 14 條第 5 項）

三段式通報時限

flowchart LR
    A["知悉遭利用漏洞
或嚴重事件
第 0 天"] -->|"24 小時內"| B["早期預警
ENISA + 協調者 CSIRT"]
    B -->|"72 小時內"| C["完整通報
性質、初步評估、緩解措施"]
    C -->|"漏洞 14 天 / 事件 1 個月"| D["最終報告
提交 ENISA"]

早期預警（24 小時內）。 自知悉遭利用或事件起 24 小時內提交。不需要完整分析，列出受影響的成員國、是否疑似遭惡意利用等初步資訊即可。

完整通報（72 小時內）。 提供漏洞或事件的性質、初步評估、已採取的緩解措施，以及使用者可採取的措施。

最終報告。 漏洞於修補或緩解措施可用後 14 天內提交；事件於完整通報後 1 個月內提交。內容含嚴重程度、影響、根本原因與已套用的緩解措施。（第 14 條第 2 項、第 4 項）

提示： 第 14 條第 8 項另要求製造商在通報之外，主動告知受影響的使用者該漏洞或事件，以及可採取的緩解措施。當局通報與使用者告知是兩件事。

通報責任歸屬：品牌商與台灣代工廠

這是台灣業者最該先釐清的一點，也是面向歐洲的 CRA 資料很少談的角度。

CRA 的「製造商」定義有兩個條件：開發或製造產品（或委由他人設計、製造），且以自身名義或商標投放市場。（第 3 條第 13 項）關鍵在第二個條件。

當歐盟品牌把產品掛上自己的品牌在 EU 銷售，法律上的製造商是品牌商。第 14 條的通報義務落在品牌商身上，不是台灣代工廠。但這不表示代工廠置身事外。

品牌商要在 24 小時內向 ENISA 通報，前提是先從代工廠取得足夠資訊。如果漏洞出在代工廠提供的韌體元件，品牌商會透過合約，要求代工廠以更短的 SLA 先行通知。常見設計是 12 小時，目的是替品牌商保留通報作業時間。這份 12 小時 SLA 不在 CRA 條文裡，是品牌商寫進代工合約的商業控制項。和碩、仁寶、緯創、英業達、廣達等大型 ODM 都會碰到這類條款，詳見台灣 ODM 代工廠的 CRA 合約生存指南。

當台灣業者以自有品牌在 EU 銷售，情況相反：你就是製造商，第 14 條的通報義務直接落在你身上，由你向 ENISA 通報。

重點： 同一家台灣公司可能同時是兩種身分。代工的產品由歐盟品牌通報，自有品牌的產品由你自己通報。先把產品線依「掛誰的品牌」分類，才能確定每條線的通報責任。

現有產品同樣適用

「2027 年 12 月前還有時間」是常見誤解，只對了一半。

CRA 設有過渡條款：2027 年 12 月 11 日前已上市的產品，除非之後有重大修改，否則多數要求不適用。（第 69 條第 2 項）但這項排除有一個例外。第 14 條的通報義務，適用於所有落入 CRA 範圍、且在 2027 年 12 月 11 日前已上市的產品。（第 69 條第 3 項）

注意： CE 標章與 SBOM 有過渡暫緩，漏洞通報義務沒有。今天已在 EU 銷售的 IoT 裝置、工業設備、嵌入式系統，從 2026 年 9 月 11 日起就是通報對象。

先完成 CRA 範圍與分類判定。產品屬於一般、重要還是關鍵，可參閱 CRA 產品分類指南。

「遭積極利用」是什麼意思

等到證據完全確鑿才行動的習慣，會直接撞上 24 小時期限。期限自製造商「知悉」遭積極利用的漏洞起算，沒有時間等法務審查跑完。

flowchart TD
    A["收到漏洞或事件情資"] --> B{"是否有遭積極利用的可信證據？"}
    B -->|"有"| C["啟動 24 小時倒數
預先指定的通報負責人即時啟動"]
    B -->|"不明"| D["技術研判
數小時內完成"]
    B -->|"無"| E["一般 CVD 流程
銜接 TWCERT/CC"]
    D --> F{"是否取得積極利用證據？"}
    F -->|"是"| C
    F -->|"否"| E
    C --> G["提交 ENISA 早期預警
24 小時內"]
    G --> H["完整通報
72 小時內"]
    H --> I["最終報告
14 天 / 1 個月"]

核心： 不必等到百分之百確定。24 小時自知悉起算，72 小時的完整通報再更新狀況。研判不確定時，用幾小時做技術判斷，避免超過期限。

你的公司是否適用：四種情境

自有品牌、無歐盟據點。 若製造商在歐盟沒有主要營業據點，第 14 條第 7 項規定協調者 CSIRT 依固定順序決定：先看授權代表所在的成員國，其次是進口商、再者經銷商，最後是使用者所在的成員國。台灣總公司是通報主體，要事先確認會落到哪一國的 CSIRT。授權代表並非必選（第 18 條第 1 項；與 MDR、RED 不同）；若未選任，順序就從進口商起算。是否自願選任，參閱 CRA 第 18 條授權代表解說。

透過歐盟子公司或進口商銷售。 子公司若以進口商身分運作，第一線應對落在子公司，但台灣總公司仍負提供技術文件與漏洞資訊的義務。總公司與歐盟端之間的 24 小時通報鏈要事先建立。

B2B 與工業產品。 B2B 產品不在 CRA 排除之列。「只供貨給大型系統整合商」不改變製造商身分。路由器、交換器、NAS、工控設備的準備，參閱台灣網通/IoT 品牌廠的 CRA 實戰指南；AI 伺服器與 BMC／NIC／DPU 韌體的證據準備，參閱台灣 AI 伺服器硬體 CRA 實務指南。持有 IEC 62443 認證也不等於完成第 14 條的通報義務。

TWCERT/CC 通報不等於 ENISA 通報

台灣資安人員熟悉的管道是 TWCERT/CC（台灣電腦網路危機處理暨協調中心）的漏洞通報，以及數位發展部（MODA）的資安規範。這些是國內機制，與歐盟的 ENISA 各自獨立。

第 14 條要求向 ENISA 與歐盟成員國 CSIRT 通報。向 TWCERT/CC 通報，無法取代第 14 條對 ENISA 的通報義務。兩條管道要分開運作：對象不同（歐盟市場監督機關相對於台灣本地 CSIRT），但同一份事件分析多半可以共用，減少重工。

國內的 BSMI 商品檢驗與產品驗證，聚焦電氣安全與電磁相容（EMC），不涵蓋第 14 條的通報程序。持有 BSMI 字號，不等於符合 CRA。台灣的《資通安全管理法》規範政府機關與關鍵基礎設施業者，並非規範產品製造商，與第 14 條也是兩條平行軌道。

本文內容僅供參考，不構成法律建議。有關 EU 產品法規的具體合規要求，請諮詢熟悉 EU 法規的法律專業人士。