CRA 產品分類指南：你的產品是一般、重要，還是關鍵？

CRA 將所有含數位元素的產品分為四個等級，等級決定你是自我評估還是需要公告機構審查。逐步對照 Annex III 與 Annex IV 清單，找出你的分類。

CRA Evidence Team 發布 2026年4月3日更新於 2026年5月1日

本文內容

摘要
CRA 四大產品類別
決策樹：確認你的類別
各類別的符合性評估路徑
邊界案例：如何判定
各產業的具體指引
尋找公告機構
常見分類錯誤
產品分類確認清單
常見問題
後續步驟

你的 CRA 符合性評估路徑取決於產品分類。「重要」與「關鍵」產品須強制接受第三方評估；「一般」產品可自我評估。

摘要

CRA 定義四個類別：一般、重要 Class I、重要 Class II、關鍵
一般：可自我評估（Module A）
重要 Class I：第三方評估，除非完全採用調和標準
重要 Class II 與關鍵：強制第三方評估
分類依據是產品功能與風險，而非市場領域
有疑問時，傾向較高分類（對應執法較安全）

提示： 約 90% 的產品屬於一般類別。先查閱 Annex III 與 Annex IV。若你的產品未列入其中，即為一般類別。

CRA 產品分類決策樹:: 一般、重要 Class I/II 及關鍵類別

CRA 四大產品類別

CRA 依網路安全風險將含數位元素的產品分為四個等級：

CRA 產品類別概覽:: 一般、重要 Class I/II 及關鍵，含符合性評估路徑

一般產品

絕大多數產品屬於此類別。若你的產品未具體列入 Annex III 或 Annex IV，即為「一般」。

符合性評估： 自我評估（Module A）即可。

範例：

簡易 IoT 感測器
基本消費性電子產品
標準商業軟體
通用應用程式
非聯網的嵌入式裝置

重要 Class I（Annex III，Part I）

因功能或使用者群體而具有較高風險的產品。

符合性評估： 若完全採用相關調和標準，可自我評估；否則須第三方評估。

Annex III，Part I 完整清單：

身分管理系統及特權存取管理軟硬體，包含認證與存取控制讀取器（含生物辨識讀取器）
獨立與嵌入式瀏覽器
密碼管理工具
搜尋、移除或隔離惡意軟體的產品
具有虛擬私人網路（VPN）功能的含數位元素產品
網路管理系統
資安資訊與事件管理（SIEM）系統
開機管理程式（Boot manager）
公開金鑰基礎設施與數位憑證簽發軟體
實體與虛擬網路介面
作業系統
路由器、供連接網際網路的數據機，以及交換器
具有資安相關功能的微處理器
具有資安相關功能的微控制器
具有資安相關功能的特殊應用積體電路（ASIC）與現場可程式化閘陣列（FPGA）
智慧家庭通用語音助理
具有資安功能的智慧家庭產品，包含智慧門鎖、安全攝影機、嬰兒監視系統及警報系統
受 Directive 2009/48/EC 規範、具社交互動功能（例如語音或攝影）或位置追蹤功能的聯網玩具
具有健康監測（如追蹤）目的且未受 Regulation (EU) 2017/745 或 (EU) No 2017/746 規範的個人穿戴裝置，或供兒童使用的個人穿戴裝置

重要 Class II（Annex III，Part II）

須強制第三方評估的較高風險產品。

符合性評估： 須第三方（公告機構）評估，無自我評估選項。

Annex III，Part II 完整清單：

支援作業系統及類似環境虛擬化執行的 Hypervisor 與容器執行時期系統
防火牆、入侵偵測與預防系統
防竄改微處理器
防竄改微控制器

關鍵產品（Annex IV）

最高風險類別，包含硬體安全模組等產品。

符合性評估： 第三方評估，加上「重大」等級或以上的歐盟網路安全認證（EUCC）。

Annex IV 完整清單：

附有安全盒的硬體裝置
智慧計量系統中的智慧電表閘道器（依 Directive (EU) 2019/944 第 2 條第 23 點定義），及其他用於進階資安目的的裝置，包含安全加密處理裝置
智慧卡或類似裝置，包含安全元件

決策樹：確認你的類別

請依以下流程為產品分類：

起點：你的產品是否含有數位元素？
│
├─ 否 → 不在 CRA 範圍內，停止。
│
└─ 是 → 是否列於 Annex IV（關鍵產品）？
     │
     ├─ 是 → 關鍵
     │        須第三方評估 + EUCC 認證
     │
     └─ 否 → 是否列於 Annex III，Part II（重要 Class II）？
          │
          ├─ 是 → 重要 CLASS II
          │        須第三方評估
          │
          └─ 否 → 是否列於 Annex III，Part I（重要 Class I）？
               │
               ├─ 是 → 重要 CLASS I
               │        第三方評估或符合標準的自我評估
               │
               └─ 否 → 一般
                        可自我評估（Module A）

各類別的符合性評估路徑

CRA 符合性評估路徑:: Module A、B+C、H 及 EUCC

模組	適用類別	須公告機構
A：內部生產控制	一般；已採用調和標準的 Class I	不須
B+C：EU 型式審查 + 生產控制	未採用標準的 Class I；Class II；關鍵	須
H：全面品質保證	任何類別，B+C 的替代方案	須
EUCC：EU 網路安全認證	僅關鍵（Annex IV），須與 B+C 或 H 並行	須

Module A 為完整自我評估流程：技術文件、EU 符合性宣告（DoC）、CE 標章，不涉及外部稽核員。

Module B+C 將工作拆分：公告機構審查型式樣品並出具認證（Module B）；製造商確保所有生產符合該型式（Module C）。

Module H 以製造商品質管理系統稽核取代逐產品審查，更適合擁有大型產品組合的廠商。

EUCC 建立在 Module B+C 或 H 之上，適用於關鍵產品，由認可的符合性評鑑機構依 EU Cybersecurity Act 以「重大」保證等級或以上簽發。

邊界案例：如何判定

並非每個產品都能明確歸類。以下是最常見的邊界情況：

多功能產品

規則：若任何一項功能觸發較高類別，整個產品即以該等級分類。

範例： 一款包含以下功能的智慧家庭中控：

基本自動化控制（一般）
VPN 功能（重要 Class I）
安全攝影機整合（重要 Class I）

分類結果： 重要 Class I（最高觸發類別）

CRA 多功能產品規則:: 最高類別優先，適用於所有功能

嵌入式元件

規則： 考量具有資安相關性的元件是否觸發分類。

範例： 一款消費性裝置包含：

通用微控制器 → 一般
「具有資安相關功能」的微控制器 → 重要 Class I

關鍵問題： 微控制器是否執行資安功能（加密、認證、安全開機）？

「預定用途」的考量

Annex III 部分項目指定了預定用途或產品情境（例如引用「受 Directive 2009/48/EC 規範的聯網玩具」或引用 Regulations 2017/745 及 2017/746 的健康監測穿戴裝置）。

若你的產品可能被用於這些情境但並非專為此目的設計，該分類可能不適用。請清楚記錄你的預定用途。

作業系統

作業系統僅列於 Annex III Part I（重要 Class I），Class II 中無作業系統類別：

作業系統類型	分類
嵌入式作業系統（RTOS、韌體）	一般（通常）
通用作業系統	重要 Class I

範例： 嵌入式裝置的客製 Linux 發行版通常屬重要 Class I，Ubuntu Server 屬重要 Class I。

軟體與硬體

分類依據是投入市場的產品整體：

獨立軟體： 依軟體功能分類
含嵌入式軟體的硬體： 依合併功能分類
單獨販售的軟體元件： 獨立分類

各產業的具體指引

IoT 裝置製造商

大多數 IoT 裝置屬一般，除非：

包含 VPN 功能 → Class I
為智慧家庭安全裝置 → Class I
為工業 IoT → Class I 或 II
包含防竄改資安功能 → Class II

軟體公司

大多數軟體屬一般，除非具體列入：

瀏覽器、密碼管理工具、反惡意軟體 → Class I
網路資安工具（防火牆、IDS） → Class II
作業系統 → Class I

嵌入式系統

分類高度取決於：

微控制器/處理器的資安功能
產品是否供工業/專業使用
目標部署環境（關鍵基礎設施？）

醫療器材

醫療器材排除在 CRA 範圍外（由 MDR/IVDR 規範）。然而，配套軟體或非醫療功能仍可能在範圍內。

尋找公告機構

若產品須第三方評估：

查詢 NANDO 資料庫： EU 官方公告機構清單
確認 CRA 專屬指定資格： 機構須被指定負責 CRA 符合性評估
考量容量： CRA 早期採用階段，公告機構資源有限
地理因素： 選擇同區域的公告機構可能更便利

CRA 的公告機構指定程序仍在進行中，請直接查詢 NANDO 資料庫取得最新指定機構清單。

常見分類錯誤

重要： 分類依據是產品功能，而非市場領域、公司規模或產品複雜度。務必查閱 Annex III 與 Annex IV 清單。

「消費性產品就是一般類別」

錯誤。 分類依功能而定，而非市場。

販售給消費者的智慧門鎖屬重要 Class I，因為它是「具有資安功能的智慧家庭產品」，不論目標市場是消費者或企業。

「我們是 B2B，所以分類較低」

錯誤。 B2B 與 B2C 不影響分類。

供企業客戶使用的工業 IoT 產品，依功能可能屬重要 Class I 或 II。

「我們的產品小巧簡單，所以是一般類別」

可能錯誤。 規模與複雜度不決定分類。

具有資安功能的微小微控制器可能屬重要 Class I；龐大複雜但未列入清單功能的產品可能屬一般類別。

「我們已有 ISO 27001，所以已涵蓋」

錯誤。 ISO 27001 針對組織資訊安全，而非產品符合性評估。

CRA 要求的是產品專屬符合性評估，與組織認證無關。

產品分類確認清單

產品分類確認清單

產品：_______________________________________
日期：_________________________________________

初步範圍確認：
[ ] 產品含有數位元素（軟體及/或資料連線）
[ ] 產品將在 EU 市場上市
[ ] 產品未排除在外（醫療、汽車、航空、軍事）

Annex IV 確認（關鍵）：
[ ] 非附有安全盒的硬體裝置
[ ] 非智慧計量系統中的智慧電表閘道器（依 Directive (EU) 2019/944 第 2 條第 23 點）或其他進階資安目的裝置
[ ] 非智慧卡或類似裝置（含安全元件）

若以上任一為「是」→ 關鍵（停止於此）

Annex III Part II 確認（重要 Class II）：
[ ] 非 Hypervisor 或容器執行時期系統
[ ] 非防火牆、入侵偵測或預防系統
[ ] 非防竄改微處理器
[ ] 非防竄改微控制器

若以上任一為「是」→ 重要 CLASS II（停止於此）

Annex III Part I 確認（重要 Class I）：
[ ] 逐一核對 19 個類別完整清單
[ ] 考量多功能影響
[ ] 確認元件中是否有資安相關功能

若有任一類別適用 → 重要 CLASS I（停止於此）

一般：
[ ] 產品未列入任何附件
[ ] 分類：一般

符合性評估路徑：
[ ] Module A（自我評估）：一般、採用標準的 Class I
[ ] Module B+C（第三方）：未採用標準的 Class I、Class II
[ ] Module H（品質保證）：B+C 的替代方案
[ ] EUCC 認證：僅限關鍵產品

文件記錄：
[ ] 分類理由已記錄
[ ] 多功能分析已完成
[ ] 預定用途已明確定義
[ ] 已確認所需公告機構（如適用）

分類執行者：_________________________________
日期：_________________________________________

常見問題

產品未列入 Annex III 或 Annex IV，是否就一定屬於一般類別?

未列入 Annex III 或 Annex IV 的產品依預設歸類為一般，可採 Module A 自我評估。但須留意「多功能規則」: 任何一項功能觸發較高分類時，整個產品依該等級分類，因此須逐功能檢視 VPN、密碼管理、加密處理、生體辨識等是否存在。組件層級若含「具有資安相關功能」的微控制器或微處理器，亦會把整體分類拉高至重要 Class I。一次性盤點建議從CRA 適用性確認工具開始。

重要 Class I 產品在什麼條件下可採 Module A 自我評估?

Class I 產品要採 Module A 自我評估，需要兩個條件同時成立: (一) 對應產品類別的歐盟調和標準（harmonised standards）已正式發布; (二) 產品完全符合該調和標準。截至 2026 年第一季，CEN/CENELEC 與 ETSI 仍在制定 CRA 調和標準，多數 Class I 產品類別尚無可用標準。在標準發布前，Class I 產品仍須委由公告機構執行 Module B+C 或 Module H 第三方評估。標準發布狀況須持續監控（CRA 第 27 條），分類記錄應隨之更新。

產品同時具備 VPN 與密碼管理功能，分類如何判定?

依多功能規則，任何一項功能觸發較高分類時，整個產品以最上位等級分類。VPN 與密碼管理皆列於 Annex III Part I，因此具備這兩項功能的產品整體屬重要 Class I，無法走一般類別的自我評估。即使其他功能屬一般範疇，最上位的 Class I 分類仍適用於整個產品，且分類依據（觸發類別、多功能組合）須記錄於附件 VII 技術文件。

已取得 BSMI 安規認證，CRA 分類與適合性評估是否可以共用?

不可共用，但可部分再利用。BSMI 與經濟部標準檢驗局針對 CNS 標準的測試聚焦於電氣安全與電磁相容（EMC），與 CRA 附件 I 的網路安全要求屬不同維度。CRA 適合性評估須獨立執行，且須提交附件 VII 技術文件與 EU 適合性聲明。BSMI 既有測試報告可作為 EMC 章節的佐證，但網路安全測試、SBOM、漏洞通報流程仍須單獨建置。

附件 VII 技術文件的最低必要章節有哪些?

CRA 附件 VII 要求技術文件至少涵蓋: 產品說明與意圖用途、設計與製造規格、附件 I 必要要求的符合性說明、風險評估、SBOM（CycloneDX 或 SPDX 機器可讀格式）、適合性評估結果、安全更新政策、CVD 協調漏洞揭露政策、以及測試報告。文件須在產品上市後保管至少 10 年，市場監督機關可隨時要求提交。Class II 與關鍵產品須再加上公告機構的評估證書。

分類判定錯誤的法律與商業風險是什麼?

依 CRA 第 64 條，附件 I 必要要求或第 13、14 條的不符可處最高 1,500 萬歐元或全球年營收 2.5% 罰款，以較高者為準。市場監督機關（MSA）若認定分類偏低，可要求重新執行第三方評估與 CE 標章流程，並命令產品下架或召回。低估分類在初次稽核被點出時，補件成本與時程衝擊往往遠高於原本應採的第三方評估費用。分類有疑慮時，建議透過免費評估取得書面差距分析報告，避免在法規生效後才發現偏差。

後續步驟

分類確定後，下一階段的工作是把判定結果落實到技術文件、評估流程與 EU 端的法律與通報架構上。

分類確定後的 7 個實務步驟

建立產品分類記錄表。逐一比對 EU 市場銷售產品線與 Annex III、Annex IV，記錄每款產品的分類結果與依據（觸發類別、多功能影響、組件資安功能）。分類記錄須納入附件 VII 技術文件，市場監督機關隨時可要求提交。先以CRA 適用性確認工具做一次性盤點。
多功能與組件資安功能精盤。針對含 VPN、密碼管理、加密處理、生體辨識、安全開機等功能的產品，逐功能對照 Annex III Part I 的 19 項清單。組件層級若有「具有資安相關功能」的微處理器、微控制器、ASIC、FPGA，須記錄其資安功能（加密、認證、安全開機）以判定是否觸發 Class I 分類。
追蹤 CEN/CENELEC 調和標準發布狀態（CRA 第 27 條）。Class I 產品的 Module A 自我評估資格取決於調和標準是否發布。建立每季一次的標準狀態追蹤表，涵蓋 CEN/CENELEC TC 13、ETSI TC CYBER 與 EUCC 的進度。標準發布前 Class I 產品須走第三方評估，預算編列須據此規劃。
附件 VII 技術文件範本準備。建立涵蓋產品說明、意圖用途、風險評估、SBOM（CycloneDX 或 SPDX 格式）、適合性評估結果、安全更新政策、CVD 政策的技術文件範本。文件保管期最少 10 年（CRA 附件 VII），市場監督機關隨時可要求提交。
公告機構（Notified Body）查詢與洽談。Class II、關鍵產品、以及無調和標準的 Class I 產品須委由公告機構執行第三方評估。在 NANDO 資料庫確認 CRA 已指定機構，並在 2026 年下半年前洽詢評估排程。CRA 初期公告機構容量有限，預估評估期 6-12 個月，須在 2027 年 12 月 11 日全面適用前完成。
EU 授權代表（CRA 第 18 條 · 任意）。未在 EU 設立的台灣製造商可依 CRA 第 18 條第 1 項以書面授權選任一名 EU 境內授權代表（與 MDR 第 11 條 · RED 第 5 條不同，CRA 採任意制，未選任本身不構成違反）。選任時，書面授權範圍以第 18 條第 3 項為上限：技術文件與 EU DoC 保管至少 10 年、回應市場監督機關合理請求、配合產品風險消除。第 18 條第 2 項排除第 13 條的實質網路安全義務不得委任。
補充參考。第 14 條 ENISA 通報義務與台灣 24 小時通報實作請參閱台灣製造業者 EU CRA 完全指南、網通/IoT 品牌廠的產品分類應用請參閱台灣網通/IoT 品牌廠的 CRA 實戰指南、ODM 代工廠的合約義務請參閱台灣 ODM 代工廠的 CRA 合約生存指南。

本文內容僅供參考，不構成法律建議。有關 EU 產品法規的具體合規要求，請諮詢熟悉 EU 法規的法律專業人士。

CRA 產品分類符合性評估 CE標章

國家與市場指南

CRA 是否適用於你的產品？

回答6個簡單問題，了解你的產品是否屬於 EU 網路韌性法的適用範圍。2分鐘內即可獲得結果。

立即確認

摘要