台灣製造業者出口EU完全指南：EU網路韌性法(CRA)合規路線圖

大多數台灣製造業者知道 CRA 的全面適用期限是 2027 年 12 月。但 ENISA 通報義務將於 2026 年 9 月 11 日 生效——距今約 5 個月。這是第一個實質性截止日，不是最後一個。與台灣業者熟悉的 BSMI 或 NCC 認證不同，CRA 在國內並無直接對應的制度可供參照，這正是許多台灣製造業者感到陌生的原因。

我的產品是否適用 CRA？

flowchart TD
    A["產品含有軟體\n或韌體？"] -->|否| OUT1["CRA適用除外"]
    A -->|是| B["在EU市場\n銷售？"]
    B -->|否| OUT1
    B -->|是| C{"適用除外？"}
    C -->|"醫療器材(MDR/IVDR)\n車輛型式認證\n航空·國防"| OUT2["適用其他法規\nCRA除外"]
    C -->|不適用| D["✅ CRA適用\n確認產品分類"]

CRA 的適用性取決於產品在 EU 市場上市的地點，而非製造地點。一家台灣 ODM 廠商向德國經銷商出貨，其法律義務與德國本地製造業者完全相同。

B2B 供應鏈注意事項： 即使您透過 EU 進口商或經銷商銷售，您的 EU 買方在 2027 年後下訂單前，將以合約方式要求您提供 CRA 合規文件。這是商業現實，不僅是法規義務。

台灣常見出口產品中，屬 CRA 適用範圍的包括： 路由器、交換器、NAS 設備、IP 攝影機、工業控制器、IoT 閘道器、嵌入式運算平台、智慧顯示器、通訊模組、含韌體的消費性電子產品。

適用除外的產品： 無數位元件的純機械產品、醫療器材（適用 MDR）、車輛（UN R155）、航空、海事。

台灣製造業者面臨的三大特殊挑戰

1. 無 EU 境內法人地址

CRA 要求製造業者在 EU 境內設立，或指定一名在 EU 設立的授權代表。大多數台灣 ODM 廠商兩者皆無。授權代表（授權代表）必須擁有 EU 地址，並在法律上對其在 EU 市場的產品 CRA 合規文件負責。這不是選擇性選項——對於無 EU 法人的台灣製造業者而言，這實際上是強制要求。

2. SBOM 從零開始

不同於部分已有 KISA 資助 SBOM 計畫可作參考的韓國企業，大多數台灣製造業者從未製作過機器可讀的 SBOM（軟體物料清單）。CRA 要求您備有機器可讀格式的 SBOM（CycloneDX 或 SPDX 格式），列出所有軟體元件、其版本及相關已知漏洞。台灣工業技術研究院（ITRI）已發布實用的 SBOM 建構指南，但 ITRI 指南本身並不等同於完成 CRA 合規義務。

3. 24 小時通報期限與組織決策流程的結構性矛盾

CRA 第 14 條要求在發現被積極利用的漏洞後 24 小時內通報 ENISA。然而，多數台灣企業在對外揭露前需要多層核准（資安團隊 → 組長 → 法務 → 公關 → 高階主管），此流程通常需要 3 至 7 個工作天。這套流程在 2026 年 9 月的期限前必須重新設計。

產品分類：需要哪種評估？

CRA 依風險等級對產品進行分類，進而決定自我評估是否足夠，或是否需要第三方認證。

重要提示： 附件 III/IV 所涵蓋的產品清單範圍比想像中窄。大多數台灣消費性電子及 IoT 產品屬一般產品，可進行自我評估。請勿過度評估分類，以免產生不必要的認證費用。

CRA 的兩個關鍵期限

flowchart LR
    NOW["📅 現在\n2026年3月"] --> SEP["⚠️ 2026年9月11日\nENISA通報義務生效"]
    SEP --> DEC["🔴 2027年12月11日\nCRA全面適用"]

    NOW -. "現在開始" .-> A1["產品分類\n漏洞應變流程設計\n授權代表遴選"]
    SEP -. "此日前完成" .-> A2["24h/72h通報SOP就緒\nENISA SRP平台登記"]
    DEC -. "此日前完成" .-> A3["SBOM · EU DoC\n技術文件 · CE標誌"]

CRA 要求您製作的文件

持續義務（非一次性）

• 針對 SBOM 中所有元件，在產品支援生命週期（最少 5 年）內持續監控新 CVE
• 對可利用漏洞強制發布安全更新——非選擇性
• ENISA 通報：24 小時早期預警 → 72 小時完整通報 → 30 天最終報告（針對被積極利用的漏洞）
• 嚴重資安事件通報：同樣適用 24 小時 / 72 小時 / 30 天循環

2026 年 9 月 11 日是第一個實質性期限。 從這天起，上述通報義務立即生效，包括您今日已在 EU 市場流通的現有產品。

SBOM：什麼是 SBOM，如何準備？

SBOM（軟體物料清單） 是產品中每個軟體元件的完整、機器可讀清單。CRA 第 13(25) 條要求您備有 SBOM，並能在市場監管機關要求時提交。

格式選擇：

• CycloneDX — 推薦用於 CRA 安全合規目的。ENISA 偏好 CycloneDX 格式
• SPDX — 更適合開源授權合規用途

免費工具：

• Syft — 從容器或檔案系統自動生成 CycloneDX / SPDX 格式 SBOM
• cdxgen — 支援 Java、Python、Node.js、Go、Rust 等多語言
• Trivy — 同時處理 SBOM 生成與 CVE 掃描

ITRI 資源： 台灣工業技術研究院已發布 SBOM 構建指南，可作為初步參考。但請注意，ITRI 指南無法直接替代 CRA 合規要求——兩者是平行軌道，各有其義務。

EU 授權代表——無 EU 據點的台灣製造業者

無 EU 法人的製造業者可依 CRA 第 18 條指定 EU 授權代表。對於在 EU 沒有任何法律實體的台灣製造業者而言，授權代表實際上是必要而非選擇性的，原因是 EU 市場監管機關及 ENISA 需要一個位於 EU 的聯絡窗口。

授權代表的職責包括：

• 保存技術文件及 EU DoC（最少 10 年）
• 代表製造業者與 EU 市場監管機關溝通
• 協調產品召回及矯正措施

與台灣現行法規的關係

台灣的《資通安全管理法》（Cybersecurity Management Act, CSMA）規範政府機關及關鍵基礎設施業者——並非規範消費性或工業產品的私人製造業者。數位部（MODA）及工業技術研究院（ITRI）發布資安指引，但國內並無相當於 CRA 的強制製造業規範。

EU 與台灣的網路安全要求是平行軌道：

• CSMA：規範您的組織作為關鍵基礎設施業者（如適用）
• CRA：規範您在 EU 市場銷售的產品

符合 CSMA 義務並不等同於完成 CRA，反之亦然。

實務合規路線圖

違規罰則

免費工具

• CRA 適用性確認工具 →

CRA 核心術語（SBOM、EU DoC、CE 標誌、ENISA 等）如有不熟悉，請參閱繁體中文 CRA 用語集。

若您不確定從何開始，我們提供免費評估服務：一次 45 分鐘通話，加上書面差距分析報告，告知您的產品確切需要準備哪些項目。無費用，無後續義務。

確認 CRA 是否適用於您的產品 →

申請免費 CRA 評估 →