台灣網通/IoT品牌廠的CRA實戰指南:路由器、NAS、工控設備的合規路徑

台灣品牌路由器、NAS、防火牆、工業閘道器多屬 CRA 重要產品。ENISA 漏洞通報 2026 年 9 月 11 日生效,SBOM 等義務 2027 年 12 月適用。

CRA Evidence Team 發布 2026年3月25日 更新於 2026年5月30日
台灣網通設備廠商測試區中的工程師檢視網路交換器與漏洞掃描報告
本文內容

台灣的路由器、NAS、工控設備正在 EU 貨架上,而 CRA 即將改變遊戲規則。

Eurostat 2024 年高科技貿易統計,台灣是 EU 高科技進口的主要來源之一,進口額約 260 億歐元、占比約 6%。歐盟執委會的台灣貿易頁也指出,2024 年 EU 自台灣進口貨品以機械與電機設備為主。台灣經濟部國際貿易署則在 2026 年 1 月發布的台歐經貿關係說明中記載,2025 年台灣對 EU 出口成長 12.1%。對網通設備與 IoT 裝置廠商來說,EU 市場仍在成長,但成長也伴隨更高的產品資安審查。Zyxel 的防火牆佈建在歐洲中小企業的機櫃中,D-Link 的路由器在歐洲家庭隨處可見,QNAP 和群暉的 NAS 是歐洲企業資料儲存的主力。

這些品牌廠與 ODM 代工廠有根本性的差異:ODM 面臨的是 EU 客戶的合約壓力,而品牌廠則直接承擔 CRA 的法律義務;因為在 EU 法規定義中,品牌廠就是「製造商(manufacturer)」。

摘要

  • 台灣網通/IoT 品牌廠的主力產品(路由器、防火牆、NAS)被 CRA 重要產品清單明確涵蓋
  • 防火牆、IDS/IPS 屬 Class II,須第三方認證;路由器、NAS 屬 Class I調和標準發布前可能也需第三方
  • CRA 第 14 條:被積極利用的漏洞須 24 小時內通報 ENISA,2026 年 9 月 11 日生效
  • 安全更新支援期原則上不得少於 5 年;若產品預期使用年限短於 5 年,支援期可依預期使用年限設定,但須文件化並清楚揭示
  • 已取得 IEC 62443 認證的廠商(Moxa、研華)佔有優勢,但仍有 SBOM(軟體物料清單)、EU DoC、ENISA 通報等缺口
  • 美國 FCC 於 2026 年 3 月將「外國生產的路由器」納入 Covered List(具條件核准者除外),顯示主要市場對網通供應鏈安全審查正在升級;台灣品牌廠應把 CRA 合規轉化為競爭優勢

為什麼台灣網通/IoT 製造商受 CRA 衝擊最大

CRA 的「重要產品」清單幾乎是為台灣網通產業量身打造的。路由器、防火牆、NAS、工業控制器(這些不是邊緣品項,而是台灣對 EU 出口的主力)。

flowchart TD
    TW["台灣品牌廠產品"] --> R["路由器\n(家用/企業)"]
    TW --> FW["防火牆\nUTM/IDS/IPS"]
    TW --> NAS["NAS\n網路儲存"]
    TW --> IND["工業路由器\n工業閘道器"]
    TW --> CAM["IP 攝影機"]
    TW --> SBC["工業電腦\n單板電腦"]

    R --> C1["Class I 重要產品"]
    FW --> C2["Class II 重要產品"]
    NAS --> C1
    IND --> C1
    CAM --> DEF["一般產品 或 Class I\n(依功能判定)"]
    SBC --> DEF2["一般產品\n(自我評估)"]

以下是台灣主要品牌廠的產品分類對照表:

產品類別 CRA 分類 適合性評估 台灣代表廠商
路由器(家用/企業) Class I 重要產品 自我評估(有調和標準時)或第三方 Zyxel、D-Link
防火牆 / UTM / IDS / IPS Class II 重要產品 須第三方認證 Zyxel
NAS 網路儲存 Class I 重要產品 自我評估(有調和標準時)或第三方 QNAP、群暉(Synology)
工業路由器 / 工業閘道器 Class I 重要產品 自我評估(有調和標準時)或第三方 Moxa
IP 攝影機 一般產品或 Class I 自我評估 晶睿(Vivotek)
工業電腦 / 單板電腦 一般產品 自我評估 研華(Advantech)、友達資訊(DFI)

重要提示: 「Class I 可自我評估」有一個前提:該產品類別的歐盟調和標準(harmonised standard)已正式發布,且產品完全符合該標準。標準狀態須直接查詢 EU 官方發布與 NANDO / OJEU 資訊。在標準發布前,即使 Class I 產品也可能需要第三方評估或適用歐盟網路安全認證方案(EUCC)。

Class I vs Class II:對台灣製造商的實際影響

Class I(路由器、NAS、工業路由器): 若歐盟調和標準已發布且製造商完全符合,可執行自我評估。但若無適用調和標準,製造商須選擇:(a) 委託歐盟認定的符合性評鑑機構(Notified Body)進行第三方評估,或 (b) 取得 EUCC 認證。目前實務上,多數 Class I 產品的調和標準尚未就位。

Class II(防火牆、IDS/IPS、工業作業系統): 無論調和標準是否存在,一律須第三方認證。對 Zyxel 而言,旗下企業級防火牆/UTM 產品線全數落入 Class II,認證成本與時程是現實考量。

關鍵差異: Class I 的自我評估路徑是一項成本優勢(前提是標準到位)。台灣品牌廠應密切追蹤 CEN/CENELEC TC 13 的調和標準制定進度,這直接影響是否需要編列第三方認證預算。

漏洞管理的現實檢驗:QNAP 的教訓

QNAP 是理解 CRA 漏洞管理要求嚴格程度的最佳案例。QNAP 產品曾在公開漏洞競賽與安全公告中多次被點名,也長期遭 DeadBolt、Qlocker 等勒索軟體鎖定。這類案例說明,NAS 不是單純的儲存設備,而是會暴露在網際網路、遠端管理與供應鏈漏洞風險中的產品。

這不是對 QNAP 的指責,NAS 設備面對的威脅面本就廣泛。但這正是 CRA 預設的威脅環境。

在 CRA 框架下,QNAP(以及所有 NAS/路由器製造商)面臨的義務:

  • ENISA 漏洞通報: 每一個被積極利用的漏洞,須在發現後 24 小時內向 ENISA 提交早期預警,72 小時內提交完整通報,並於修補或緩解措施可用後 14 天內提交最終報告
  • 安全更新支援期: 免費安全更新須覆蓋產品支援期;支援期原則上不得少於 5 年,若產品預期使用年限短於 5 年,則可依預期使用年限設定,且須文件化並清楚揭示
  • SBOM 持續更新: 每次韌體更新後,SBOM(軟體物料清單) 須同步更新

以公開漏洞競賽或多個漏洞同時揭露的情境為例:若漏洞在 CRA 第 14 條生效後被積極利用,製造商可能需要在數天內處理多條 ENISA 通報流程。這對任何組織的資安應變團隊都是嚴峻考驗。

IEC 62443 認證:台灣工控廠商的優勢

台灣的工業控制設備製造商在 CRA 合規上有一項結構性優勢:IEC 62443 認證。

  • Moxa(四零四科技): 已取得 IEC 62443-4-1(安全開發生命週期)認證
  • 研華(Advantech): 已取得 IEC 62443-4-2(元件安全)認證

IEC 62443 與 CRA 附件 I 的要求有大幅重疊,尤其在安全設計、存取控制、加密通訊、安全更新機制等面向。

flowchart LR
    subgraph IEC["IEC 62443 已覆蓋"]
        A1["安全開發流程\n(SDL)"]
        A2["存取控制\n身份認證"]
        A3["加密通訊\n資料保護"]
        A4["安全更新機制"]
        A5["事件偵測\n日誌記錄"]
    end

    subgraph GAP["CRA 額外要求\n(IEC 62443 未覆蓋)"]
        B1["SBOM\n軟體物料清單"]
        B2["EU DoC\n適合性宣言"]
        B3["ENISA 24h 通報"]
        B4["CE 標章"]
        B5["技術文件\n(產品證據)"]
    end

    IEC --> PARTIAL["IEC 62443 可重用\n主要流程證據"]
    GAP --> MUST["仍須額外\n準備的項目"]

IEC 62443 的實務價值:持有認證的廠商在 CRA 適合性評估中可以援引 IEC 62443 的測試報告與流程文件,減少重複工作。但 IEC 62443 不涵蓋 SBOM 機器可讀格式、EU DoC 文件、ENISA SRP 通報、CE 標章等 CRA 專屬要求(這些缺口必須獨立補齊)。

對於尚未取得 IEC 62443 的網通廠商(如 D-Link、QNAP),CRA 合規需從頭建構完整的安全開發流程、漏洞管理程序及文件體系。

UK PSTI Part 1 對映表(僅限消費性連網產品)

英國《產品安全與電信基礎設施法(PSTI)》第一部已於 2024 年 4 月 29 日生效,適用於在英國市場銷售的消費性連網產品。已將消費性路由器、智慧家庭裝置出貨給英國零售商的台灣廠商(如 Zyxel、D-Link 的消費系列),通常已實作 PSTI 控制項。以下是 PSTI 控制項與 CRA 對應要求的對映:

UK PSTI Part 1 控制項 CRA 準備重點
禁用通用預設密碼(每台裝置須使用唯一密碼) 預設安全組態與認證機制
公開漏洞揭露政策 協調漏洞揭露政策與公開聯絡點
公告最低安全更新支援期限 產品支援期與安全更新承諾

適用範圍限制: PSTI Part 1 僅適用於「消費性連網產品」。工業級閘道器、OT 網通設備(如 Moxa、研華的工控產品線)、純 B2B 裝置不在 PSTI 涵蓋範圍內,但仍在 CRA 範圍內。本對映表僅作為已出貨英國消費市場 SKU 的起步基線,不可視為完整的 CRA 解決方案。

ODM/代工角度

對於以 ODM 模式為 EU 品牌代工的台灣廠商,CRA 法律義務落在 EU 品牌(即 CRA 定義的「製造商」)身上。但這不代表 ODM 可以置身事外。

EU 品牌在 2026 年至 2027 年可能在代工合約中加入以下條款:

  • 要求 ODM 提供韌體的完整 SBOM(CycloneDX 或 SPDX 格式)
  • 要求 ODM 建立 CVD(協調漏洞揭露)政策
  • 要求 ODM 承諾在合約期間提供安全更新
  • 要求 ODM 在取得被積極利用漏洞的可信證據時,以短於 24 小時的 SLA 通知 EU 品牌(常見設計是 12 小時,以便 EU 品牌保留 ENISA 通報作業時間)

B2B 供應鏈注意事項: 無法提供 SBOM 和漏洞管理能力的 ODM,2027 年後在 EU 品牌供應商稽核中的風險會升高。CRA 不會直接把製造商義務轉成 ODM 法定義務,但 EU 品牌很可能透過合約要求供應鏈交付證據。

時程 

flowchart LR
    NOW["📅 準備期\n2026 年上半年"] --> M1["2026 年 Q2\n產品分類完成\nSBOM 管線建置\n授權代表選任評估(任意)"]
    M1 --> M2["2026 年 Q3\nENISA SRP 登記\n24h 通報 SOP 演練\nCVD 政策上線"]
    M2 --> SEP["⚠️ 2026年9月11日\nENISA通報義務生效\n含現有EU市場產品"]
    SEP --> M3["2026年Q4\n技術文件初稿\nEU DoC初稿\nClass II認證送件"]
    M3 --> M4["2027年上半年\n適合性評估完成\nSBOM持續更新機制"]
    M4 --> DEC["🔴 2027年12月11日\nCRA全面適用\nCE標章·EU DoC\n全部就位"]

重要提示: 對防火牆/IDS 等 Class II 產品,第三方認證機構的評估流程通常需要 6-12 個月。若在 2026 年底前未啟動送件,2027 年 12 月的期限將非常緊迫。

常見問題

台灣製造商已取得 IEC 62443-4-1 認證,還需要做 CRA 適合性評估嗎?

需要。IEC 62443-4-1 認證可重用為安全開發流程、威脅模型與安全驗證的佐證,但不構成 CRA 適合性評估本身。CRA 要求逐產品提供證據: SBOM、技術文件、EU 適合宣言書(DoC),以及 Class II 產品的公告機構評估。既有認證可作為技術文件的佐證,但不可取代。相關路徑判定請見CRA 適用性確認工具

我的產品是 Class I 還是 Class II? 差別在哪?

Class I(重要產品)只有在相關調和標準已公布且產品完全符合該標準時,才可採 Module A 自我評估;否則通常需要公告機構第三方評估或適用的 EU 網路安全認證路徑。Class II 一律需要公告機構第三方評估,流程通常 6-12 個月。網通品牌廠的典型切分: 家用路由器與一般 NAS 多落入 Class I; 企業級防火牆、IDS/IPS、HSM、受管網路交換器較可能列為 Class II。分類決策應盡早完成,避免 2027 年 12 月 11 日全面適用期限緊迫時才送件。

NAS 漏洞事件後,ENISA 通報義務何時生效?

ENISA 24 小時通報義務自 2026 年 9 月 11 日生效(CRA 第 14 條),早於 2027 年 12 月的 CRA 全面適用日期約 15 個月。意味在完整適合性評估完成之前,你的漏洞處理流程就必須到位。既有在 EU 市場上的產品也受此義務約束,不限於新上市機種。實務準備請參考本文第 4 節的時程說明。

代工(ODM)出貨給 EU 品牌廠,CRA 合規責任歸誰?

法律上,CE 標章與 EU 適合宣言書的責任落在以自有品牌在 EU 市場銷售產品的製造商,亦即 EU 品牌廠。但在合約層面,EU 品牌廠通常會將 SBOM 交付、CVD 政策、安全更新支援年限等義務以背對背條款轉嫁給 ODM。台灣 ODM 廠應預先檢視標準合約範本,評估哪些條款無法承擔並提早協商。詳細條款分析請參閱台灣 ODM 代工廠的 CRA 合約生存指南

台灣本地的 TWCERT/CC 通報流程可以取代 ENISA 通報嗎?

不可以取代,但可以共用資料。ENISA 通報透過 Single Reporting Platform (SRP) 進行,目的是 EU 會員國主管機關與 ENISA 的情資匯整。TWCERT/CC 是台灣本地資安通報窗口,兩者對象不同。建議將 24 小時內容認定、影響評估、緩解資訊標準化,同一事件同時輸出至兩個通道,減少重工。

Tier 2 零組件供應商(例如賣晶片模組給 Zyxel 或 D-Link)需要自行做 CRA 合規嗎?

如果你只將模組 B2B 出售給下游整機製造商、不以自有品牌在 EU 市場販售完整產品,CRA 的製造商義務落在整機品牌。但整機廠對你提出 SBOM、弱點揭露政策、更新支援承諾的合約要求是必然的。越早在生產線建立 SBOM 管線與 CVD 政策,越容易通過品牌廠的供應商稽核。若不確定貴公司在哪些 EU 品牌客戶的供應鏈中已被點名,可透過免費評估取得書面差距分析報告。

下一階段的工作是把產品分類落實到 SBOM、CVD 政策、ENISA 通報、技術文件與適合性評估等必要組件,並評估是否自願選任 EU 授權代表

網通/IoT 品牌廠的 7 個實務步驟

  1. 產品分類與適用性確認。逐一比對產品線與 CRA 重要產品、關鍵產品清單,記錄每款產品的 Class I/II 或一般歸屬。Class II 產品(防火牆、IDS/IPS)須優先排定第三方認證排程。先以CRA 適用性確認工具做一次性初步判定。
  2. SBOM 自動化管線建置。針對韌體建立自動化 SBOM 生成管線,涵蓋第三方元件與開源函式庫。CRA 目前要求常用且機器可讀格式,CycloneDX 與 SPDX 都是實務選項;漏洞管理情境通常優先評估 CycloneDX。每次韌體建置須自動輸出 SBOM 並與韌體版本建立明確關聯,同時追蹤歐盟執委會後續指定的格式與欄位。
  3. CVD 政策與 security.txt 公開。建立書面協調漏洞揭露政策,並依 RFC 9116 在企業網站 /.well-known/security.txt 路徑放置聯絡檔案。CVD 政策須涵蓋通報接收管道、確認回覆時限、修補時程標準。
  4. ENISA SRP 登記與 24 小時通報 SOP(2026 年 9 月 11 日生效)。在 ENISA Single Reporting Platform 完成組織登記,設計內部 24 小時通報流程,繞過傳統多層簽核。SOP 須涵蓋 24 小時早期預警、72 小時完整通報、最終報告(修補或緩解措施可用後 14 天內)三段時限,並限定於被積極利用的漏洞情境。
  5. EU 授權代表選任評估(任意)與支援期承諾。CRA 採任意制:選任時,書面授權範圍涵蓋技術文件保管至少 10 年與市場監督機關回應;不選任亦不構成違反,但須在合約與內部流程明確指定 EU 端的應對窗口。安全更新支援期原則上不得少於 5 年;若產品預期使用年限短於 5 年,可依預期使用年限設定,但起算日、判定依據與支援期須於合約與產品文件揭示。
  6. 技術文件與適合性評估路徑(2027 年 12 月 11 日全面適用)。準備技術文件範本涵蓋產品描述、風險評估、SBOM、適合性評估結果、安全更新政策。Class II 產品在 2026 年第四季前須啟動公告機構送件,否則 2027 年 12 月 11 日全面適用前難以完成評估。
  7. 補充參考。台灣製造業者整體 CRA 合規路線請參閱台灣製造業者 EU CRA 完全指南、產品分類詳解請參閱CRA 產品分類指南、ODM 代工廠的合約義務請參閱台灣 ODM 代工廠的 CRA 合約生存指南

本文內容僅供參考,不構成法律建議。有關 EU 產品法規的具體合規要求,請諮詢熟悉 EU 法規的法律專業人士。

CRA 台灣網通設備 IoT NAS 工業控制 重要產品
Share

相關文章

返回所有文章

CRA 是否適用於你的產品?

回答6個簡單問題,了解你的產品是否屬於 EU 網路韌性法的適用範圍。2分鐘內即可獲得結果。

立即確認