CRA 台灣網通設備 IoT NAS 工業控制 重要產品

台灣網通/IoT品牌廠的CRA實戰指南:路由器、NAS、工控設備的合規路徑

台灣品牌路由器、NAS、防火牆、工控設備直接在EU銷售——CRA將這些列為「重要產品」。Zyxel、D-Link、QNAP、群暉、Moxa、研華面臨的Class I/II分類、SBOM、ENISA通報、5年更新義務,以及IEC 62443認證的優勢與不足。

CRA Evidence Team
作者
2026年3月25日
4 分鐘閱讀
台灣網通設備廠商測試區中的工程師檢視網路交換器與漏洞掃描報告
本文內容

台灣的路由器、NAS、工控設備正在 EU 貨架上——而 CRA 即將改變遊戲規則。

台灣是 EU 第五大高科技進口來源國,佔 EU 高科技進口額約 13%(約 260 億歐元)。其中,網通設備與 IoT 裝置是這項貿易的核心品項。Zyxel 的防火牆佈建在歐洲中小企業的機櫃中,D-Link 的路由器在歐洲家庭隨處可見,QNAP 和群暉的 NAS 是歐洲企業資料儲存的主力。

這些品牌廠與 ODM 代工廠有根本性的差異:ODM 面臨的是 EU 客戶的合約壓力,而品牌廠則直接承擔 CRA 的法律義務——因為在 EU 法規定義中,品牌廠就是「製造商(manufacturer)」。

摘要

  • 台灣網通/IoT 品牌廠的主力產品(路由器、防火牆、NAS)被 CRA 附件 III 明確列為「重要產品」
  • 防火牆、IDS/IPS 屬 Class II,須第三方認證;路由器、NAS 屬 Class I,調和標準發布前可能也需第三方
  • CRA 第 14 條:被積極利用的漏洞須 24 小時內通報 ENISA,2026 年 9 月 11 日生效
  • CRA 第 13 條:免費安全更新須持續提供至少 5 年
  • 已取得 IEC 62443 認證的廠商(Moxa、研華)佔有優勢,但仍有 SBOM(軟體物料清單)、EU DoC、ENISA 通報等缺口
  • 美國 FCC 於 2026 年 3 月禁止 TP-Link 路由器,EU 市場空間重新洗牌——台灣品牌廠應把握機會,以 CRA 合規作為競爭優勢

為什麼台灣網通/IoT 製造商受 CRA 衝擊最大

CRA 附件 III 列出了「重要產品」清單,這份清單幾乎是為台灣網通產業量身打造的。路由器、防火牆、NAS、工業控制器——這些不是邊緣品項,而是台灣對 EU 出口的主力。

flowchart TD
    TW["台灣品牌廠產品"] --> R["路由器\n(家用/企業)"]
    TW --> FW["防火牆\nUTM/IDS/IPS"]
    TW --> NAS["NAS\n網路儲存"]
    TW --> IND["工業路由器\n工業閘道器"]
    TW --> CAM["IP 攝影機"]
    TW --> SBC["工業電腦\n單板電腦"]

    R --> C1["Class I 重要產品"]
    FW --> C2["Class II 重要產品"]
    NAS --> C1
    IND --> C1
    CAM --> DEF["一般產品 或 Class I\n(依功能判定)"]
    SBC --> DEF2["一般產品\n(自我評估)"]

以下是台灣主要品牌廠的產品分類對照表:

產品類別 CRA 分類 適合性評估 台灣代表廠商
路由器(家用/企業) Class I 重要產品 自我評估(有調和標準時)或第三方 Zyxel、D-Link
防火牆 / UTM / IDS / IPS Class II 重要產品 須第三方認證 Zyxel
NAS 網路儲存 Class I 重要產品 自我評估(有調和標準時)或第三方 QNAP、群暉(Synology)
工業路由器 / 工業閘道器 Class I 重要產品 自我評估(有調和標準時)或第三方 Moxa
IP 攝影機 一般產品或 Class I 自我評估 晶睿(Vivotek)
工業電腦 / 單板電腦 一般產品 自我評估 研華(Advantech)、友達資訊(DFI)

重要提示: 「Class I 可自我評估」有一個前提——該產品類別的歐盟調和標準(harmonised standard)已正式發布。截至 2026 年 3 月,CRA 調和標準仍在 CEN/CENELEC 制定中。在標準發布前,即使 Class I 產品也可能需要第三方評估或適用歐盟網路安全認證方案(EUCC)。

Class I vs Class II:對台灣製造商的實際影響

Class I(路由器、NAS、工業路由器): 若歐盟調和標準已發布且製造商完全符合,可執行自我評估。但若無適用調和標準,製造商須選擇:(a) 委託歐盟認定的符合性評鑑機構(Notified Body)進行第三方評估,或 (b) 取得 EUCC 認證。目前實務上,多數 Class I 產品的調和標準尚未就位。

Class II(防火牆、IDS/IPS、工業作業系統): 無論調和標準是否存在,一律須第三方認證。對 Zyxel 而言,旗下企業級防火牆/UTM 產品線全數落入 Class II,認證成本與時程是現實考量。

關鍵差異: Class I 的自我評估路徑是一項成本優勢——前提是標準到位。台灣品牌廠應密切追蹤 CEN/CENELEC TC 13 的調和標準制定進度,這直接影響是否需要編列第三方認證預算。

漏洞管理的現實檢驗:QNAP 的教訓

QNAP 是理解 CRA 漏洞管理要求嚴格程度的最佳案例。2025 年 Pwn2Own Ireland,QNAP NAS 被發現 7 個零日漏洞。QNAP 產品長期遭 DeadBolt、Qlocker 等勒索軟體鎖定,CERT-EU 曾就 QNAP 漏洞發布專項安全公告。

這不是對 QNAP 的指責——NAS 設備面對的威脅面本就廣泛。但這正是 CRA 預設的威脅環境。

在 CRA 框架下,QNAP(以及所有 NAS/路由器製造商)面臨的義務:

  • CRA 第 14 條: 每一個被積極利用的漏洞,須在發現後 24 小時內向 ENISA 提交早期預警,72 小時內提交完整通報,30 天內提交最終報告
  • CRA 第 13 條: 免費安全更新須覆蓋產品支援期(至少 5 年),修補必須及時,不得延遲
  • SBOM 持續更新: 每次韌體更新後,SBOM(軟體物料清單) 須同步更新

以 Pwn2Own 2025 為例:7 個零日漏洞若在 CRA 生效後被揭露並被積極利用,意味著在數天內向 ENISA 提交 7 份獨立的通報流程。這對任何組織的資安應變團隊都是嚴峻考驗。

IEC 62443 認證:台灣工控廠商的優勢

台灣的工業控制設備製造商在 CRA 合規上有一項結構性優勢:IEC 62443 認證。

  • Moxa(四零四科技): 已取得 IEC 62443-4-1(安全開發生命週期)認證
  • 研華(Advantech): 已取得 IEC 62443-4-2(元件安全)認證

IEC 62443 與 CRA 附件 I 的要求有大幅重疊,尤其在安全設計、存取控制、加密通訊、安全更新機制等面向。

flowchart LR
    subgraph IEC["IEC 62443 已覆蓋"]
        A1["安全開發流程\n(SDL)"]
        A2["存取控制\n身份認證"]
        A3["加密通訊\n資料保護"]
        A4["安全更新機制"]
        A5["事件偵測\n日誌記錄"]
    end

    subgraph GAP["CRA 額外要求\n(IEC 62443 未覆蓋)"]
        B1["SBOM\n軟體物料清單"]
        B2["EU DoC\n適合性宣言"]
        B3["ENISA 24h 通報"]
        B4["CE 標誌"]
        B5["技術文件\n(附件 VII 格式)"]
    end

    IEC --> PARTIAL["IEC 62443 覆蓋\nCRA 附件 I\n約 60-70%"]
    GAP --> MUST["仍須額外\n準備的項目"]

IEC 62443 的實務價值:持有認證的廠商在 CRA 適合性評估中可以援引 IEC 62443 的測試報告與流程文件,大幅減少重複工作。但 IEC 62443 不涵蓋 SBOM 機器可讀格式、EU DoC 文件、ENISA SRP 通報、CE 標誌等 CRA 專屬要求——這些缺口必須獨立補齊。

對於尚未取得 IEC 62443 的網通廠商(如 D-Link、QNAP),CRA 合規需從頭建構完整的安全開發流程、漏洞管理程序及文件體系。

ODM/代工角度

對於以 ODM 模式為 EU 品牌代工的台灣廠商,CRA 法律義務落在 EU 品牌(即 CRA 定義的「製造商」)身上。但這不代表 ODM 可以置身事外。

EU 品牌在 2026-2027 年將在代工合約中加入以下條款:

  • 要求 ODM 提供韌體的完整 SBOM(CycloneDX 或 SPDX 格式)
  • 要求 ODM 建立 CVD(協調漏洞揭露)政策
  • 要求 ODM 承諾在合約期間提供安全更新
  • 要求 ODM 在發現被積極利用的漏洞時,在 12 小時內通知 EU 品牌(以便 EU 品牌在 24 小時內通報 ENISA)

B2B 供應鏈注意事項: 無法提供 SBOM 和漏洞管理能力的 ODM,將在 2027 年後逐步失去 EU 品牌訂單。這已不是預測,而是多家歐洲通路商公開宣布的採購政策變更。

實務準備清單

以下是針對網通/IoT 製造商的 8 步驟合規準備:

  1. 產品分類: 逐一比對產品線與 CRA 附件 III 清單,確認哪些屬 Class I、Class II、一般產品。使用 CRA 適用性確認工具 進行初步判定
  2. SBOM 流程建置: 針對韌體建立自動化 SBOM 生成管線(含第三方元件、開源函式庫)。格式建議採用 CycloneDX,與 ENISA 偏好一致
  3. CVD 政策與 security.txt: 建立協調漏洞揭露政策,在產品網站放置 RFC 9116 規範的 security.txt 檔案
  4. ENISA SRP 登記與 24 小時通報 SOP: 在 ENISA 的 Single Reporting Platform 完成組織登記,設計內部 24 小時通報流程(繞過傳統多層簽核)
  5. 5 年支援期定義: 針對每一款產品,明確定義安全更新支援終止日(EOS),並在產品文件及包裝上標示
  6. EU 授權代表指定: 在 EU 境內指定授權代表,負責保管技術文件及與市場監管機關溝通
  7. 技術文件準備(附件 VII): 包含產品描述、風險評估、SBOM、適合性評估結果、安全更新政策
  8. 適合性評估路徑決策: Class II 產品須立即啟動第三方認證機構的評估流程;Class I 產品須追蹤調和標準進度,準備自我評估與第三方評估的雙軌方案

時程 

flowchart LR
    NOW["📅 現在\n2026年3月"] --> M1["2026年4-6月\n產品分類完成\nSBOM管線建置\n授權代表指定"]
    M1 --> M2["2026年7-8月\nENISA SRP登記\n24h通報SOP演練\nCVD政策上線"]
    M2 --> SEP["⚠️ 2026年9月11日\nENISA通報義務生效\n含現有EU市場產品"]
    SEP --> M3["2026年Q4\n技術文件初稿\nEU DoC初稿\nClass II認證送件"]
    M3 --> M4["2027年上半年\n適合性評估完成\nSBOM持續更新機制"]
    M4 --> DEC["🔴 2027年12月11日\nCRA全面適用\nCE標誌·EU DoC\n全部就位"]

重要提示: 對防火牆/IDS 等 Class II 產品,第三方認證機構的評估流程通常需要 6-12 個月。若在 2026 年底前未啟動送件,2027 年 12 月的期限將非常緊迫。

下一步

CRA 核心術語(SBOM、EU DoC、CE 標誌、ENISA 等)如有不熟悉,請參閱繁體中文 CRA 用語集

若您不確定產品屬於哪個 CRA 分類,或想了解 IEC 62443 認證能在 CRA 合規中覆蓋多少範圍,我們提供免費評估服務:一次 45 分鐘通話,加上書面差距分析報告,告知您的產品確切需要準備哪些項目。無費用,無後續義務。

確認 CRA 是否適用於您的產品 →

申請免費 CRA 評估 →

本文內容僅供參考,不構成法律建議。有關 EU 產品法規的具體合規要求,請諮詢熟悉 EU 法規的法律專業人士。

本文涵蓋主題

分享本文

相關文章

CRA 是否適用於您的產品?

回答6個簡單問題,了解您的產品是否屬於 EU 網路韌性法的適用範圍。2分鐘內即可獲得結果。

立即確認
返回所有文章