台灣製造業者出口EU完全指南:EU網路韌性法(CRA)合規路線圖

EU網路韌性法(CRA)對台灣製造業者的影響與分步驟合規方法。從適用性確認、SBOM建置、EU適合性宣言到CE標章,提供實務路線圖。

CRA Evidence Team 發布 2026年3月24日 更新於 2026年5月1日
台灣製造業者的EU網路韌性法(CRA)合規指南:電路板與EU及台灣連結示意圖
本文內容

大多數台灣製造業者知道 CRA 的全面適用期限是 2027 年 12 月。但 ENISA 通報義務將於 2026 年 9 月 11 日 生效,距今約 5 個月。這是第一個實質性截止日,不是最後一個。與台灣業者熟悉的 BSMI 或 NCC 認證不同,CRA 在國內並無直接對應的制度可供參照,這正是許多台灣製造業者感到陌生的原因。

摘要

  • EU CRA 適用於所有含軟體或韌體、在 EU 市場銷售的產品製造業者
  • 兩個關鍵期限: 2026 年 9 月 11 日(ENISA 通報義務生效)及 2027 年 12 月 11 日(全面適用)
  • 大多數台灣出口產品屬於**一般產品(自我評估)**類別,無需第三方認證
  • 核心準備:SBOM 流程、ENISA 通報機制、EU 適合性宣言(EU DoC)、技術文件
  • 違規最高罰款:1,500 萬歐元或全球年營收 2.5%
  • 非 EU 製造業者可依 CRA 第 18 條第 1 項以書面授權選任一名 EU 境內 授權代表(Authorised Representative · 任意)(與 MDR · RED 不同,CRA 未強制要求)

我的產品是否適用 CRA? 

flowchart TD
    A["產品含有軟體\n或韌體?"] -->|否| OUT1["CRA適用除外"]
    A -->|是| B["在EU市場\n銷售?"]
    B -->|否| OUT1
    B -->|是| C{"適用除外?"}
    C -->|"醫療器材(MDR/IVDR)\n車輛型式認證\n航空·國防"| OUT2["適用其他法規\nCRA除外"]
    C -->|不適用| D["✅ CRA適用\n確認產品分類"]

CRA 的適用性取決於產品在 EU 市場上市的地點,而非製造地點。一家台灣 ODM 廠商向德國經銷商出貨,其法律義務與德國本地製造業者完全相同。

B2B 供應鏈注意事項: 即使你透過 EU 進口商或經銷商銷售,你的 EU 買方在 2027 年後下訂單前,將以合約方式要求你提供 CRA 合規文件。這是商業現實,不僅是法規義務。

台灣常見出口產品中,屬 CRA 適用範圍的包括: 路由器、交換器、NAS 設備、IP 攝影機、工業控制器、IoT 閘道器、嵌入式運算平台、智慧顯示器、通訊模組、含韌體的消費性電子產品。

適用除外的產品: 無數位元件的純機械產品、醫療器材(適用 MDR)、車輛(UN R155)、航空、海事。

台灣製造業者面臨的三大特殊挑戰

1. 無 EU 境內法人地址

CRA 對非 EU 製造業者並未強制要求在 EU 境內設立法人,亦未強制要求選任授權代表。CRA 第 18 條第 1 項規定「製造商以書面授權選任授權代表」,係任意制(不同於 MDR 第 11 條與 RED 第 5 條對非 EU 製造商的強制 AR 規定)。多數台灣 ODM 廠商既無 EU 法人,亦未選任授權代表,這在法律上並非違反 CRA。實務上,EU 授權代表提供 EU 端單一窗口(市場監督機關回應、第 18 條第 3 項(a) 文件 10 年保管、與既有 MDR/RED 代表整合),故多數無 EU 據點的製造業者出於營運考量自願選任。

2. SBOM 從零開始

不同於部分已有 KISA 資助 SBOM 計畫可作參考的韓國企業,大多數台灣製造業者從未製作過機器可讀的 SBOM(軟體物料清單)。CRA 要求你備有機器可讀格式的 SBOM(CycloneDX 或 SPDX 格式),列出所有軟體元件、其版本及相關已知漏洞。台灣工業技術研究院(ITRI)已發布實用的 SBOM 建構指南,但 ITRI 指南本身並不等同於完成 CRA 合規義務。

3. 24 小時通報期限與組織決策流程的結構性矛盾

CRA 第 14 條要求在發現被積極利用的漏洞後 24 小時內通報 ENISA。然而,多數台灣企業在對外揭露前需要多層核准(資安團隊 → 組長 → 法務 → 公關 → 高階主管),此流程通常需要 3 至 7 個工作天。這套流程在 2026 年 9 月的期限前必須重新設計。

產品分類:需要哪種評估?

CRA 依風險等級對產品進行分類,進而決定自我評估是否足夠,或是否需要第三方認證。

分類 依據 適合性評估 台灣產品範例
一般產品 附件 III/IV 未涵蓋 自我評估 智慧家電、IoT 感測器、智慧電視
重要產品 Class I 附件 III 第 1 部分 自我評估(適用調和標準時) 智慧家庭集線器、VPN 用戶端
重要產品 Class II 附件 III 第 2 部分 須第三方認證 防火牆、IDS/IPS、工業作業系統
核心產品 附件 IV EU 憑證或第三方認證 智慧卡 IC、HSM

重要提示: 附件 III/IV 所涵蓋的產品清單範圍比想像中窄。大多數台灣消費性電子及 IoT 產品屬一般產品,可進行自我評估。請勿過度評估分類,以免產生不必要的認證費用。

CRA 的兩個關鍵期限 

flowchart LR
    NOW["📅 現在\n2026年3月"] --> SEP["⚠️ 2026年9月11日\nENISA通報義務生效"]
    SEP --> DEC["🔴 2027年12月11日\nCRA全面適用"]

    NOW -. "現在開始" .-> A1["產品分類\n漏洞應變流程設計\n授權代表選任評估(任意)"]
    SEP -. "此日前完成" .-> A2["24h/72h通報SOP就緒\nENISA SRP平台登記"]
    DEC -. "此日前完成" .-> A3["SBOM · EU DoC\n技術文件 · CE標章"]

CRA 要求你製作的文件

文件 依據 核心內容
SBOM(軟體物料清單 第 13(25) 條、附件 I 列出產品內所有軟體元件、版本及已知漏洞
漏洞揭露政策及公開聯絡點 第 14 條、附件 I 安全漏洞回報管道及公開監控聯絡點
技術文件 第 29 條、附件 VII 設計文件、風險評估、SBOM、適合性評估結果
EU 適合性宣言(EU DoC) 第 28 條、附件 V 聲明產品符合 CRA 要求的法律文件
CE 標章 第 30 條 適合性評估完成後貼附於產品
EU 授權代表(任意) 第 18 條第 1 項 EU 境內法律地址之書面授權代表;第 18 條第 1 項採任意制(與 MDR 第 11 條 · RED 第 5 條不同)

持續義務(非一次性)

  • 針對 SBOM 中所有元件,在產品支援生命週期(最少 5 年)內持續監控新 CVE
  • 對可利用漏洞強制發布安全更新(非選擇性)
  • ENISA 通報:24 小時早期預警 → 72 小時完整通報 → 14 天最終報告(針對被積極利用的漏洞,CRA 第 14 條第 2 項)
  • 嚴重資安事件通報:24 小時早期預警 / 72 小時完整通報 / 1 個月最終報告(CRA 第 14 條第 3 項)

2026 年 9 月 11 日是第一個實質性期限。 從這天起,上述通報義務立即生效,包括你今日已在 EU 市場流通的現有產品

SBOM:什麼是 SBOM,如何準備?

SBOM(軟體物料清單) 是產品中每個軟體元件的完整、機器可讀清單。CRA 第 13(25) 條要求你備有 SBOM,並能在市場監管機關要求時提交。

格式選擇:

  • CycloneDX:推薦用於 CRA 安全合規目的。ENISA 偏好 CycloneDX 格式
  • SPDX:更適合開源授權合規用途

免費工具:

  • Syft:從容器或檔案系統自動生成 CycloneDX / SPDX 格式 SBOM
  • cdxgen:支援 Java、Python、Node.js、Go、Rust 等多語言
  • Trivy:同時處理 SBOM 生成與 CVE 掃描

ITRI 資源: 台灣工業技術研究院已發布 SBOM 構建指南,可作為初步參考。但請注意,ITRI 指南無法直接替代 CRA 合規要求;兩者是平行軌道,各有其義務。

EU 授權代表(任意):無 EU 據點的台灣製造業者

無 EU 法人的製造業者可依 CRA 第 18 條第 1 項以書面授權選任 EU 授權代表。第 18 條第 1 項採任意制:未選任本身不構成違反 CRA。多數無 EU 據點的台灣製造業者基於營運考量(市場監督機關單一窗口、第 18 條第 3 項(a) 技術文件 10 年保管、與既有 MDR/RED 代表整合)自願選任,但亦可選擇透過 EU 進口商(第 19 條)或本地直接回應建立應對流程。詳見 CRA 第 18 條授權代表解說

授權代表的職責包括:

  • 保存技術文件及 EU DoC(最少 10 年)
  • 代表製造業者與 EU 市場監管機關溝通
  • 協調產品召回及矯正措施

與台灣現行法規的關係

台灣的《資通安全管理法》(Cybersecurity Management Act, CSMA)規範政府機關及關鍵基礎設施業者,並非規範消費性或工業產品的私人製造業者。數位部(MODA)及工業技術研究院(ITRI)發布資安指引,但國內並無相當於 CRA 的強制製造業規範。

EU 與台灣的網路安全要求是平行軌道

  • CSMA:規範你的組織作為關鍵基礎設施業者(如適用)
  • CRA:規範你在 EU 市場銷售的產品

符合 CSMA 義務並不等同於完成 CRA,反之亦然。

實務合規路線圖

期間 工作項目
現在 ~ 2026 年 5 月 產品組合 CRA 分類 / 漏洞應變流程設計 / EU 授權代表選任評估(CRA 第 18 條第 1 項 · 任意)
2026 年 6 月 ~ 8 月 ENISA SRP 平台帳戶開設及通報 SOP 建立 / 啟動 SBOM 流程建置
2026 年 9 月 11 日 ⚠️ ENISA 通報義務生效(含現有 EU 市場產品)
2026 年下半年 技術文件初稿 / EU DoC 初稿(含銷售成員國所需語言)
2027 年上半年 適合性評估完成 / Class II 以上需認證機構審查
2027 年 10 月 CE 標章貼附,EU DoC 簽署及存檔
2027 年 12 月 11 日 🔴 CRA 全面適用

違規罰則

違規類型 最高罰款
附件 I 必要要求及第 13、14 條違反 1,500 萬歐元或全球年營收 2.5%
其他義務違反(文件、CE 標章等) 1,000 萬歐元或年營收 2%
向監管機關提供虛假或不完整資訊 500 萬歐元或年營收 1%

免費工具

常見問題

我們透過 EU 進口商出貨,CRA 義務還落在台灣製造商嗎?

是的。CRA 適用性取決於產品「在 EU 市場上市」的地點,而非製造地點或出貨路徑。一家台灣製造商透過德國進口商銷售路由器,其法律義務(附件 I 必要要求、第 13 條漏洞處理、第 14 條 ENISA 通報、附件 VII 技術文件、CE 標章)與德國本地製造商完全相同。進口商有獨立的義務(CRA 第 19 條),但無法替代製造商義務。實務上,EU 進口商會以合約方式要求台灣製造商提供完整 CRA 合規文件,以保護自己。

EU 授權代表是否一定要指定? 進口商可以代替嗎?

並非強制。CRA 第 18 條第 1 項明定「製造商**得**以書面授權選任授權代表」,係任意制(與 MDR 第 11 條 · RED 第 5 條對非 EU 製造商的強制要求不同)。未選任本身不構成違反 CRA。第 19 條的進口商義務獨立於授權代表選任而適用,兩者法律地位與責任邊界不同,並非互相替代。選任授權代表時,書面授權範圍以第 18 條第 3 項為上限:技術文件與 EU DoC 保管至少 10 年、回應市場監督機關合理請求、配合產品風險消除;第 18 條第 2 項排除第 13 條第 1–11 項、第 13 條第 12 項首段、第 13 條第 14 項的實質網路安全義務不得委任。詳見 CRA 第 18 條授權代表解說

24 小時通報 ENISA 的義務何時生效? 對既有 EU 市場產品也適用嗎?

CRA 第 14 條的 ENISA 通報義務自 2026 年 9 月 11 日生效,比 CRA 全面適用日期(2027 年 12 月 11 日)早約 15 個月。生效後,被積極利用的漏洞須於 24 小時內提交早期預警、72 小時內提交完整通報、14 天內提交最終報告(CRA 第 14 條第 2 項)。這項義務對 2026 年 9 月已在 EU 市場流通的既有產品同樣適用,不限於新上市機種。多數台灣企業現有的多層核准漏洞揭露流程(資安團隊、組長、法務、公關、高階主管,常需 3-7 工作天)必須在 2026 年 9 月前重新設計。

SBOM 應採 CycloneDX 還是 SPDX 格式?

ENISA 在 2024 年 SBOM 指引中明確表達對 CycloneDX 的偏好,認為其在漏洞資料關聯方面表現較佳,因此 CRA 安全合規目的建議採 CycloneDX 1.4 或以上版本。SPDX 較適用於開源授權合規。免費工具中,Syft 可從容器或檔案系統生成兩種格式; cdxgen 支援 Java、Python、Node.js、Go、Rust 等多語言; Trivy 可同時處理 SBOM 生成與 CVE 掃描。SBOM 須機器可讀格式,列出所有第三方元件、版本號與已知漏洞,每次韌體更新後同步更新(CRA 第 13 條第 4 項)。

BSMI 認證或 ITRI 的 SBOM 指南可以替代 CRA 合規嗎?

不可替代。BSMI 與 CNS 標準聚焦於電氣安全與電磁相容(EMC),與 CRA 附件 I 的網路安全要求屬不同維度。台灣《資通安全管理法》規範政府機關與關鍵基礎設施業者,並非規範產品製造商。ITRI 發布的 SBOM 建構指南可作為實作參考,但 ITRI 指南本身不構成 CRA 合規證據。CRA 適合性評估須獨立執行,提交附件 VII 技術文件與 EU 適合性聲明。BSMI 既有測試報告可作為 EMC 章節的佐證,但網路安全測試、SBOM、漏洞通報流程、CE 標章流程均須單獨建置。

分類錯誤或文件不齊全的最高罰款是多少?

依 CRA 第 64 條: 附件 I 必要要求或第 13、14 條違反可處最高 1,500 萬歐元或全球年營收 2.5%(以較高者為準); 其他義務違反(文件、CE 標章等)最高 1,000 萬歐元或年營收 2%; 向監管機關提供虛假或不完整資訊最高 500 萬歐元或年營收 1%。市場監督機關(MSA)若認定產品分類偏低,可要求重新執行第三方評估與 CE 標章流程,並命令產品下架或召回。針對台灣製造商而言,補件成本與時程衝擊往往遠高於原本應採的合規路徑。建議透過免費評估取得書面差距分析報告,明確列出產品線在每項義務上的現況與補強優先順序。

後續步驟

下一階段的工作是把分類結果落實到 SBOM 管線、ENISA 通報、附件 VII 技術文件與 CE 標章等必要組件,並評估是否選任 EU 授權代表(CRA 第 18 條第 1 項採任意制)。

2026 年至 2027 年的 7 個實務步驟

  1. 產品分類記錄與適用性盤點。逐一比對 EU 市場銷售產品線與 CRA 附件 III、附件 IV,記錄每款產品分類與依據(觸發類別、多功能影響、組件資安功能)。先以CRA 適用性確認工具做初步判定。分類記錄須納入附件 VII 技術文件,市場監督機關隨時可要求提交。
  2. EU 授權代表(CRA 第 18 條 · 任意)未在 EU 設立的台灣製造商可依 CRA 第 18 條第 1 項以書面授權選任一名 EU 境內授權代表(與 MDR 第 11 條 · RED 第 5 條不同,CRA 採任意制,未選任本身不構成違反)。選任時,書面授權範圍以第 18 條第 3 項為上限:技術文件與 EU DoC 保管至少 10 年、回應市場監督機關合理請求、配合產品風險消除。第 18 條第 2 項排除第 13 條的實質網路安全義務不得委任。
  3. SBOM 自動化管線建置(CRA 第 13 條第 4 項)。針對韌體建立自動化 SBOM 生成管線,採 CycloneDX 1.4 或以上版本(ENISA 偏好),涵蓋第三方元件與開源函式庫至版本號層級。每次韌體建置須自動輸出並與韌體版本建立明確關聯。
  4. ENISA SRP 登記與 24 小時通報 SOP(2026 年 9 月 11 日生效)。在 ENISA Single Reporting Platform 完成組織登記,重新設計內部漏洞通報流程,繞過傳統多層核准。SOP 須涵蓋 24 小時早期預警、72 小時完整通報、14 天最終報告三段時限(CRA 第 14 條第 2 項,針對被積極利用漏洞)。
  5. 附件 VII 技術文件與 EU DoC 草稿。準備技術文件範本涵蓋產品說明、設計規格、風險評估、SBOM、適合性評估結果、安全更新政策、CVD 政策(CRA 第 29 條與附件 VII)。同時起草 EU 適合性聲明範本(附件 V),包含銷售成員國所需語言版本。
  6. 適合性評估路徑與 CE 標章(2027 年 12 月 11 日全面適用)。Class II 與關鍵產品須在 2026 年第四季前啟動公告機構送件,預估評估期 6-12 個月。一般與整合規格適用的 Class I 產品可採 Module A 自我評估。CE 標章貼附與 EU DoC 簽署須於 2027 年 12 月 11 日前完成。
  7. 補充參考。產品分類詳解請參閱CRA 產品分類指南、網通/IoT 品牌廠的實戰準備請參閱台灣網通/IoT 品牌廠的 CRA 實戰指南、ODM 代工廠的合約義務請參閱台灣 ODM 代工廠的 CRA 合約生存指南

本文內容僅供參考,不構成法律建議。有關 EU 產品法規的具體合規要求,請諮詢熟悉 EU 法規的法律專業人士。

CRA 台灣製造業 EU出口 網路安全 SBOM
Share

相關文章

返回所有文章

CRA 是否適用於你的產品?

回答6個簡單問題,了解你的產品是否屬於 EU 網路韌性法的適用範圍。2分鐘內即可獲得結果。

立即確認