CRA 產品分類指南：你的產品是一般、重要，還是關鍵？

你的 CRA 符合性評估路徑取決於產品分類。「重要」與「關鍵」產品須強制接受第三方評估；「一般」產品可自我評估。

摘要

• CRA 定義四個類別：一般、重要 Class I、重要 Class II、關鍵
• 一般：可自我評估（Module A）
• 重要 Class I：第三方評估，除非完全採用調和標準
• 重要 Class II 與關鍵：強制第三方評估
• 分類依據是產品功能與風險，而非市場領域
• 有疑問時，傾向較高分類（對應執法較安全）

提示： 約 90% 的產品屬於一般類別。先查閱重要與關鍵產品清單。若你的產品未列入其中，即為一般類別。

CRA 四大產品類別

CRA 依網路安全風險將含數位元素的產品分為四個等級：

一般產品

絕大多數產品屬於此類別。若你的產品未具體列入重要或關鍵產品清單，即為「一般」。

符合性評估： 自我評估（Module A）即可。

範例：

• 簡易 IoT 感測器
• 基本消費性電子產品
• 標準商業軟體
• 通用應用程式
• 非聯網的嵌入式裝置

台灣出口範例： 消費性 IoT 裝置、智慧家庭周邊配件、未受 Directive 2009/48/EC 規範的一般玩具。未列入重要或關鍵產品清單的多數民生與商用產品屬於此類別。注意：作為獨立網路介面銷售的 Wi-Fi 模組可能落入 Class I 的網路介面項目，需個別判斷。

重要 Class I

因功能或使用者群體而具有較高風險的產品。

符合性評估： 若完全採用相關調和標準，可自我評估；否則須第三方評估。

台灣出口範例： 消費級與 SOHO 級的有線/無線路由器、數據機、網路交換器（Zyxel、D-Link 的消費系列；屬於網際網路連線設備項目），作業系統，密碼管理工具，智慧家庭安全攝影機與智慧門鎖。完全採用調和標準時可自我評估，否則須第三方評估。

重要 Class I 完整清單：

1. 身分管理系統及特權存取管理軟硬體，包含認證與存取控制讀取器（含生物辨識讀取器）
2. 獨立與嵌入式瀏覽器
3. 密碼管理工具
4. 搜尋、移除或隔離惡意軟體的產品
5. 具有虛擬私人網路（VPN）功能的含數位元素產品
6. 網路管理系統
7. 資安資訊與事件管理（SIEM）系統
8. 開機管理程式（Boot manager）
9. 公開金鑰基礎設施與數位憑證簽發軟體
10. 實體與虛擬網路介面
11. 作業系統
12. 路由器、供連接網際網路的數據機，以及交換器
13. 具有資安相關功能的微處理器
14. 具有資安相關功能的微控制器
15. 具有資安相關功能的特殊應用積體電路（ASIC）與現場可程式化閘陣列（FPGA）
16. 智慧家庭通用語音助理
17. 具有資安功能的智慧家庭產品，包含智慧門鎖、安全攝影機、嬰兒監視系統及警報系統
18. 受 Directive 2009/48/EC 規範、具社交互動功能（例如語音或攝影）或位置追蹤功能的聯網玩具
19. 具有健康監測（如追蹤）目的且未受 Regulation (EU) 2017/745 或 (EU) No 2017/746 規範的個人穿戴裝置，或供兒童使用的個人穿戴裝置

重要 Class II

須強制第三方評估的較高風險產品。

符合性評估： 須第三方（公告機構）評估，無自我評估選項。

台灣出口範例： 主要功能為防火牆、入侵偵測/防禦（IDS / IPS）的產品，包含 Moxa 的工業防火牆產品線。若是路由器或工業閘道器將防火牆作為附屬功能，仍歸於 Class I 的網路設備項目，不屬於 Class II。

重要 Class II 完整清單：

1. 支援作業系統及類似環境虛擬化執行的 Hypervisor 與容器執行時期系統
2. 防火牆、入侵偵測與預防系統
3. 防竄改微處理器
4. 防竄改微控制器

關鍵產品（最高風險類別）

最高風險類別，包含硬體安全模組等產品。

符合性評估： 目前應以 Module B+C 或 Module H 的公告機構路徑準備。EU 網路安全認證（EUCC）只有在歐盟執委會啟用適用方案後，才會成為可用的替代路徑。

台灣出口範例： 內建於支付終端機的硬體安全模組（HSM）等「附有安全盒的硬體裝置」（依施行細則 (EU) 2025/2392 明確列舉），符合 Directive (EU) 2019/944 第 2 條第 23 點定義的智慧電表閘道器，以及智慧卡與包含安全元件的類似裝置。一般工業閘道器或 OT 設備若未屬上述類別，不自動歸於關鍵產品。

關鍵產品完整清單：

1. 附有安全盒的硬體裝置
2. 智慧計量系統中的智慧電表閘道器（依 Directive (EU) 2019/944 第 2 條第 23 點定義），及其他用於進階資安目的的裝置，包含安全加密處理裝置
3. 智慧卡或類似裝置，包含安全元件

決策樹：確認你的類別

請依以下流程為產品分類：

起點：你的產品是否含有數位元素？
│
├─ 否 → 不在 CRA 範圍內，停止。
│
└─ 是 → 是否列於關鍵產品清單？
     │
     ├─ 是 → 關鍵
     │        Module B+C 或 H。EUCC 為啟用後的替代路徑
     │
     └─ 否 → 是否列於重要 Class II 清單？
          │
          ├─ 是 → 重要 CLASS II
          │        須第三方評估
          │
          └─ 否 → 是否列於重要 Class I 清單？
               │
               ├─ 是 → 重要 CLASS I
               │        第三方評估或符合標準的自我評估
               │
               └─ 否 → 一般
                        可自我評估（Module A）

各類別的符合性評估路徑

Module A 為完整自我評估流程：技術文件、EU 符合性宣告（DoC）、CE 標章，不涉及外部稽核員。

Module B+C 將工作拆分：公告機構審查型式樣品並出具認證（Module B）；製造商確保所有生產符合該型式（Module C）。

Module H 以製造商品質管理系統稽核取代逐產品審查，更適合擁有大型產品組合的廠商。

EUCC 目前不是自動強制適用的認證。歐盟執委會啟用適用方案後，「重大」保證等級或以上的認證可在涵蓋範圍內替代第三方評估路徑。

邊界案例：如何判定

並非每個產品都能明確歸類。以下是最常見的邊界情況：

多功能產品

規則：若任何一項功能觸發較高類別，整個產品即以該等級分類。

範例： 一款包含以下功能的智慧家庭中控：

• 基本自動化控制（一般）
• VPN 功能（重要 Class I）
• 安全攝影機整合（重要 Class I）

分類結果： 重要 Class I（最高觸發類別）

嵌入式元件

規則： 考量具有資安相關性的元件是否觸發分類。

範例： 一款消費性裝置包含：

• 通用微控制器 → 一般
• 「具有資安相關功能」的微控制器 → 重要 Class I

關鍵問題： 微控制器是否執行資安功能（加密、認證、安全開機）？

「預定用途」的考量

重要產品清單的部分項目指定了預定用途或產品情境（例如引用「受 Directive 2009/48/EC 規範的聯網玩具」或引用 Regulations 2017/745 及 2017/746 的健康監測穿戴裝置）。

若你的產品可能被用於這些情境但並非專為此目的設計，該分類可能不適用。請清楚記錄你的預定用途。

作業系統

作業系統僅列於重要 Class I，Class II 中無作業系統類別：

範例： 嵌入式裝置的客製 Linux 發行版通常屬重要 Class I，Ubuntu Server 屬重要 Class I。

軟體與硬體

分類依據是投入市場的產品整體：

• 獨立軟體： 依軟體功能分類
• 含嵌入式軟體的硬體： 依合併功能分類
• 單獨販售的軟體元件： 獨立分類

各產業的具體指引

IoT 裝置製造商

大多數 IoT 裝置屬一般，除非：

• 包含 VPN 功能 → Class I
• 為智慧家庭安全裝置 → Class I
• 為工業 IoT → Class I 或 II
• 包含防竄改資安功能 → Class II

軟體公司

大多數軟體屬一般，除非具體列入：

• 瀏覽器、密碼管理工具、反惡意軟體 → Class I
• 網路資安工具（防火牆、IDS） → Class II
• 作業系統 → Class I

嵌入式系統

分類高度取決於：

• 微控制器/處理器的資安功能
• 產品是否供工業/專業使用
• 目標部署環境（關鍵基礎設施？）

醫療器材

醫療器材排除在 CRA 範圍外（由 MDR/IVDR 規範）。然而，配套軟體或非醫療功能仍可能在範圍內。

尋找公告機構

若產品須第三方評估：

1. 查詢 NANDO 資料庫： EU 官方公告機構清單
2. 確認 CRA 專屬指定資格： 機構須被指定負責 CRA 符合性評估
3. 考量容量： CRA 早期採用階段，公告機構資源有限
4. 地理因素： 選擇同區域的公告機構可能更便利

CRA 的公告機構指定程序自 2026 年 6 月 11 日起適用。是否已有可用的指定機構，請直接查詢 NANDO 資料庫取得最新清單。

常見分類錯誤

重要： 分類依據是產品功能，而非市場領域、公司規模或產品複雜度。務必查閱重要與關鍵產品清單。

「消費性產品就是一般類別」

錯誤。 分類依功能而定，而非市場。

販售給消費者的智慧門鎖屬重要 Class I，因為它是「具有資安功能的智慧家庭產品」，不論目標市場是消費者或企業。

「我們是 B2B，所以分類較低」

錯誤。 B2B 與 B2C 不影響分類。

供企業客戶使用的工業 IoT 產品，依功能可能屬重要 Class I 或 II。

「我們的產品小巧簡單，所以是一般類別」

可能錯誤。 規模與複雜度不決定分類。

具有資安功能的微小微控制器可能屬重要 Class I；龐大複雜但未列入清單功能的產品可能屬一般類別。

「我們已有 ISO 27001，所以已涵蓋」

錯誤。 ISO 27001 針對組織資訊安全，而非產品符合性評估。

CRA 要求的是產品專屬符合性評估，與組織認證無關。

產品分類確認清單

產品分類確認清單

產品：_______________________________________
日期：_________________________________________

初步範圍確認：
[ ] 產品含有數位元素（軟體及/或資料連線）
[ ] 產品將在 EU 市場上市
[ ] 產品未排除在外（醫療、汽車、航空、軍事）

關鍵產品確認：
[ ] 非附有安全盒的硬體裝置
[ ] 非智慧計量系統中的智慧電表閘道器（依 Directive (EU) 2019/944 第 2 條第 23 點）或其他進階資安目的裝置
[ ] 非智慧卡或類似裝置（含安全元件）

若以上任一為「是」→ 關鍵（停止於此）

重要 Class II 確認：
[ ] 非 Hypervisor 或容器執行時期系統
[ ] 非防火牆、入侵偵測或預防系統
[ ] 非防竄改微處理器
[ ] 非防竄改微控制器

若以上任一為「是」→ 重要 CLASS II（停止於此）

重要 Class I 確認：
[ ] 逐一核對 19 個類別完整清單
[ ] 考量多功能影響
[ ] 確認元件中是否有資安相關功能

若有任一類別適用 → 重要 CLASS I（停止於此）

一般：
[ ] 產品未列入任何較高類別清單
[ ] 分類：一般

符合性評估路徑：
[ ] Module A（自我評估）：一般、採用標準的 Class I
[ ] Module B+C（第三方）：未採用標準的 Class I、Class II
[ ] Module H（品質保證）：B+C 的替代方案
[ ] EUCC 認證：僅在歐盟執委會啟用後確認

文件記錄：
[ ] 分類理由已記錄
[ ] 多功能分析已完成
[ ] 預定用途已明確定義
[ ] 已確認所需公告機構（如適用）

分類執行者：_________________________________
日期：_________________________________________

本文內容僅供參考，不構成法律建議。有關 EU 產品法規的具體合規要求，請諮詢熟悉 EU 法規的法律專業人士。