CRA · 第 18 條

EU 授權代表與 CRA 第 18 條

歐盟網路韌性法(CRA · 規則 (EU) 2024/2847)第 18 條第 1 項規定,製造商得以書面授權選任設於 EU 境內的EU 授權代表。與 MDR 第 11 條或 RED 第 5 條不同,CRA 採任意制。本頁整理第 18 條第 3 項所定的授權代表業務、第 18 條第 2 項不得委任的義務、第 19 條進口商的關係,並就實務上的選任判斷,提供無 EU 據點的台灣製造商參考。

免費評估申請 第 18 條條文(英文原文)→

概要

在判斷是否選任 CRA 第 18 條 EU 授權代表前應先掌握的六項要點。

法源依據
規則 (EU) 2024/2847 第 18 條第 1 項為許可規定:「製造商以書面授權選任授權代表」。選任係任意。CRA 條文中並無如 MDR 第 11 條或 RED 第 5 條對非 EU 製造商的強制條款。
仍選任的理由
於 EU 境內提供市場監督機關之單一聯絡窗口,並可於機關所在地的語言與時區進行回應。可依第 18 條第 3 項(a) 由 EU 境內主體承擔 EU 適合性聲明(DoC)與技術文件 10 年保管義務。已委任 MDR 或 RED 授權代表者,得整合既有營運。
授權代表的業務範圍
第 18 條第 3 項定有業務範圍上限:將 EU 適合性聲明附件 VII 技術文件於 10 年(或支援期間,取較長者)保管,提供市場監督機關閱覽;回應機關合理請求所需之資訊與文件;配合風險消除措施。
製造商保留的義務
第 18 條第 2 項,第 13 條第 1 項至第 11 項、第 13 條第 12 項首段、第 13 條第 14 項所定的實質網路安全義務(基本要求、漏洞處理、適合性評估)排除於委任範圍之外,製造商仍為終局責任主體。
與第 19 條進口商的關係
EU 境內主體將標示非 EU 製造商名稱或商標的產品投放市場時,依第 3 條第 14 款定義即為進口商,無論是否選任授權代表,第 19 條的義務皆獨立適用。兩者並非互相替代。
CRA Evidence 的角色
CRA Evidence 為支撐第 18 條第 3 項文件保管、機關回應、風險消除紀錄等營運的證據平台。製造商自行運作、委任授權代表事務所、或與進口商分工的情境皆可對應。本公司現階段並未持有授權代表委任,並正建構 EU 境內授權代表事務所之合作網絡。

判斷是否選任 EU 授權代表

CRA 第 18 條第 1 項採任意制,故判斷重點不在於法律是否要求,而在於於 EU 境內設置聯絡窗口的營運效益是否高於委任成本。提供無 EU 據點的台灣製造商以下四步判斷:

  1. ① 貴公司(製造商)是否於 EU 境內設有法人? 是:由 EU 法人作為製造商直接對應,毋須選任授權代表,本體義務(第 13 條等)由該 EU 法人承擔。 否:進入 ②。
  2. ② EU 境內進口商或經銷商是否主導 CRA 對應? 是:進口商依第 19 條獨立負擔義務。第 18 條授權代表之選任屬任意,依機關窗口單一化或與 MDR · RED 整合營運的效益判斷即可。 否:於投放 EU 市場時,於 EU 境內確保第 18 條授權代表或第 19 條進口商其中之一的實務需求隨之提高。
  3. ③ MDR · RED · RoHS 等其他 EU 規範下是否已委任授權代表? 是:將同一事務所擴展至 CRA 範圍於營運上較簡便,但須另行訂立反映第 18 條第 2 項委任不可規則的書面授權。 否:是否新任 EU 授權代表,依產品分類(附件 III)、預估機關回應頻率、文件保管體制綜合判斷。
  4. ④ 產品是否同時適用 MDR 或 RED? 是:MDR 第 11 條與 RED 第 5 條對非 EU 製造商強制要求選任授權代表。該義務獨立於 CRA 任意性而適用。 否:若僅適用 CRA,選任完全屬任意。

上述任何階段未選任授權代表本身均不構成違反 CRA。CRA 並未對授權代表之未選任設有處罰規定。前述項目僅為實務判斷因素;多數受規範領域之非 EU 製造商,因認定營運效益高於委任成本而最終選任授權代表。

第 18 條第 3 項規範的授權代表業務

委任範圍由製造商於書面授權中訂定,但第 18 條第 3 項規定下列三項業務為應納入委任的最低範圍。市場監督機關首先確認的也是這三項。

第 18 條第 3 項(a)

EU 適合性聲明與附件 VII 技術文件 10 年保管

授權代表負有將第 28 條所定 EU 適合性聲明及第 31 條所定技術文件,於產品投放市場後 10 年(或支援期間,取較長者)內,提供市場監督機關閱覽之義務。

CRA Evidence 的支援:文件儲存庫提供 10 年保存政策(變更方案時不刪除)、Sigstore 無金鑰簽章達成不可否認、附件 VII 之 ZIP 套件匯出。

第 18 條第 3 項(b)

回應機關合理請求所需資訊與文件

就市場監督機關之合理請求(reasoned request),提供證明產品符合性所需之資訊與文件。回應期限與方法依機關指定辦理。

CRA Evidence 的支援:機關請求服務(採 AUTH-YYYY-NNNN 編號管理、期限管理、逾期偵測),以及回應套件自動生成(資訊清單、產品資訊、SBOM · HBOM · VEX · 證書一鍵打包為 ZIP)。

第 18 條第 3 項(c)

配合風險消除措施

於授權代表權限範圍內與機關及製造商合作,對為消除產品所致風險而採取之措施提供配合。涵蓋漏洞處理、矯正措施、市場回收與召回等。

CRA Evidence 的支援:機關請求生命週期管理(受理 → 確認 → 處理中 → 回應完成 → 結案),VEX 自動化(CycloneDX · CSAF · OpenVEX),矯正措施稽核軌跡。第 14 條 ENISA 通報工作流程(24 小時 · 72 小時 · 14 日)目前開發中。

第 18 條第 2 項,第 13 條第 1 項至第 11 項、第 13 條第 12 項首段、第 13 條第 14 項所定之實質網路安全義務(基本要求、漏洞處理流程、適合性評估)明確排除於委任範圍之外。即使選任授權代表,前述本體義務仍由製造商承擔。

與進口商(第 19 條)的關係:獨立角色

第 18 條授權代表與第 19 條進口商為獨立角色,發生依據與義務範圍均屬獨立,並非互相替代。同一 EU 境內法人得兼任兩者,惟書面授權須與商業契約分別訂立。

授權代表(第 18 條)
進口商(第 19 條)
角色發生依據
任意。由製造商之書面授權而生(第 18 條第 1 項)。
依定義自動成立。EU 境內主體投放標示非 EU 製造商名稱或商標之產品於 EU 市場時,該主體即為進口商(第 3 條第 14 款)。
義務依據
第 18 條第 3 項(a)(b)(c) 所定業務範圍。
第 19 條第 1 項至第 8 項全部。包含適合性評估確認、CE 標章確認、技術文件確認、文件保管、機關回應、得知漏洞時之通知等。
不得委任之義務
依第 18 條第 2 項,第 13 條的實質網路安全義務排除於委任範圍。
不適用。進口商義務直接自其商業角色而生。
是否可互相替代
否。選任授權代表並不消除投放主體所生之第 19 條進口商義務。
否。第 19 條義務獨立於是否選任授權代表而生,並不使第 18 條選任成為不必要或必要。
同一法人兼任
可。同一 EU 境內法人得同時擔任授權代表與進口商,惟書面授權須與商業契約分別訂立,並確保涵蓋兩種職能的職業責任險。

實務含義:授權代表的選任,與「由誰將產品投放 EU 市場」屬獨立判斷。設有 EU 進口商並不免除製造商的網路安全義務;選任授權代表也不免除進口商的第 19 條義務。將兩種角色委由同一 EU 境內主體時,授權代表的書面授權須與商業契約區分訂立,並確保涵蓋兩種職能的保險。

選任 EU 授權代表時應確認的要點

已於 MDR · RED · RoHS 等規範下與授權代表事務所建立關係者,以該等既有關係作為起點為合理選擇。在此之上,應進一步確認 CRA 特有的下列事項:

EU 境內法人格與據點

於 EU 27 國其中之一登記之法人格、營業所及聯絡負責人。應為書面授權之明確相對人。

職業責任險

明確涵蓋 CRA 範圍及附件 III 分類的職業責任保險(PI),並含文件管理風險之保障條款。

領域實績

MDR · RED 網路安全授權法案 · RoHS 等實績;可佐證具備 CRA 營運所需的機關回應經驗。

文件保管體制

具備對應 10 年保管義務的文件管理基礎(含竄改偵測之稽核軌跡、機關回應匯出、交接程序)。

機關回應負責人

須明示對機關承擔責任的個人姓名(自然人),不得僅列示法務部門總聯絡資訊。

語言與所在國應對能力

具備以相關會員國機關使用語言處理第 18 條第 3 項(c) 矯正措施配合的體制。

CRA Evidence 對第 18 條的營運支援

無論製造商是於公司內部自行進行文件保管、委任外部授權代表,或與 EU 進口商分工,所須執行的工作皆相同:將技術文件維持於完整狀態、向機關合理請求提交、記錄矯正措施。CRA Evidence 為承擔該等營運的平台,與是否選任授權代表無關。

第 18 條第 3 項(a)

EU DoC 與附件 VII 技術文件 10 年保管

於 10 年保存政策下管理 EU 適合性聲明、附件 VII 套件、SBOM · VEX · 風險評估,並維護含竄改偵測之稽核軌跡。

  • 技術檔案匯出:將附件 VII 打包為附資訊清單之機器可讀 ZIP。
  • 適合性證書:多語 EU DoC PDF(模組 A · B+C · H · EUCC)發行,發行後不可變。
  • 產出物簽章:Sigstore(無金鑰或金鑰管理)寫入透明性日誌,達成不可否認。
  • 10 年保存:適用於 SBOM · 文件 · 稽核事件 · 漏洞紀錄全部,方案變更時不提前刪除。
第 18 條第 3 項(b)

回應機關合理請求

對機關查詢採編號化案件、明確期限、一鍵回應套件處理,避免跨多個檔案來源尋找文件的情形。

  • 機關請求服務:市場監督機關(MSA)之查詢以 AUTH-YYYY-NNNN 形式編號管理,並偵測期限與逾期。
  • 回應套件自動生成:資訊清單、產品資訊、供應鏈驗證、稽核軌跡、README 打包為可寄送形式之 ZIP。
  • 整合證據檢視:SBOM · HBOM · VEX · 文件 · 證書 · 附件 II UII 於單一索引中跨類查詢。
  • 供應商入口:對機關或供應鏈關係人發行已界定 token 範圍之可稽核外部存取。
第 18 條第 3 項(c)

配合矯正措施與風險消除措施

漏洞處理、VEX、矯正措施紀錄記載於同一稽核軌跡基礎,故得向機關呈現「誰於何時執行何項措施」。

  • 機關請求生命週期:受理 → 確認 → 處理中 → 回應完成 → 結案,並記錄回應方法、參照編號、附件清單。
  • VEX 自動化:於 CycloneDX · CSAF · OpenVEX 中,依 finding 記錄 exploitability 判定。
  • ENISA 通報工作流程:第 14 條之 24 小時 · 72 小時 · 14 日通報流程(目前開發中)。
  • 稽核軌跡:版本更新、文件變更、核准均予記錄,以完整追蹤矯正措施之鏈結。

選任授權代表的製造商,書面授權指向授權代表事務所。無論採何種形態,證據皆於 CRA Evidence 平台上運作。欲於實際畫面確認第 18 條營運,歡迎申請免費評估。

第 18 條條文(EUR-Lex 英文原文)

提供 CRA 本文一次資料的連結,並列出第 18 條第 1 項的英文原文。

關於條文之正式語言:規則 (EU) 2024/2847 於 EUR-Lex(歐盟官方公報)之正式公布僅限於 EU 會員國的 24 種官方語言,並無繁體中文正式版本。條文解釋請以 EUR-Lex 英文版作為一次資料參照。本頁繁體中文解說並非法律意見,而是用於協助理解條文的參考資料。

第 18 條第 1 項(英文原文):

A manufacturer may, by a written mandate, appoint an authorised representative.

出處:EUR-Lex CELEX 32024R2847,第 18 條第 1 項(英文版)

參考翻譯(CRA Evidence 提供之繁體中文摘要。具法律拘束力之官方繁體中文版本並不存在):

製造商得以書面授權選任授權代表。

瀏覽第 18 條全文(EUR-Lex 英文版)→

備註:第 19 條(進口商之義務)亦可於同一 EUR-Lex 頁面參照。第 18 條第 3 項(a)(b)(c) 之業務及第 18 條第 2 項之委任不可義務(第 13 條第 1 項至第 11 項、第 13 條第 12 項首段、第 13 條第 14 項)之原文,請以前述英文版確認。

常見問題

CRA 是否強制要求選任 EU 授權代表?
並非強制。規則 (EU) 2024/2847 第 18 條第 1 項規定「製造商得以書面授權選任授權代表」,係任意制。CRA 並未如 MDR 第 11 條或 RED 第 5 條對非 EU 製造商強制要求選任授權代表。當 CRA 適用產品同時屬於 MDR 或 RED 適用範圍時,該等規範下的授權代表選任義務仍應分別遵循。
既然並非強制,無 EU 據點的製造商為何仍選任 EU 授權代表?
常見實務理由有四項。第一,於市場監督機關所在地的語言與時區提供 EU 端單一聯絡窗口。第二,依第 18 條第 3 項(a) 由 EU 境內主體承擔 EU 適合性聲明(DoC)與技術文件 10 年保管義務。第三,與既有 MDR 或 RED 授權代表整合營運,避免重複建置。第四,縮短第 18 條第 3 項(b) 合理請求回應的處理時程。
授權代表可以委任的業務與不得委任的業務分別為何?
依第 18 條第 2 項,第 13 條第 1 項至第 11 項、第 13 條第 12 項首段、第 13 條第 14 項所定的實質網路安全義務(基本要求、漏洞處理、適合性評估)明確排除於委任範圍之外。第 18 條第 3 項所定的業務(DoC 與技術文件保管、回應市場監督機關合理請求、配合風險消除措施)為委任範圍的上限。實質義務的終局責任主體仍為製造商。
授權代表與進口商是否為同一角色?
兩者為獨立角色。進口商依第 3 條第 14 款定義,係指將標示非 EU 製造商名稱或商標之產品投放於 EU 市場的 EU 境內主體;無論是否選任授權代表,第 19 條的義務皆獨立適用。授權代表則以製造商之書面授權為基礎,承擔第 18 條第 3 項的業務。同一 EU 境內法人得兼任兩者,惟書面授權須與商業契約分別訂立。
EU 進口商或經銷商可同時擔任授權代表嗎?
可以。CRA 並未禁止 EU 境內同一法人同時擔任商業上的進口商或經銷商,與依書面授權承擔授權代表業務。兩者法律地位仍應區分(進口商於商業途徑承擔第 19 條義務;授權代表依書面授權承擔第 18 條第 3 項業務)。兼任時,須有明確涵蓋第 18 條第 3 項的獨立書面授權、涵蓋兩種職能的職業責任險,以及契約上對兩種職能的清楚區隔。
授權代表是否對產品瑕疵負責?
授權代表的責任範圍以書面授權所列業務為限,於 CRA 下限於第 18 條第 3 項所定範圍(文件保管、機關回應、風險消除配合)。依第 18 條第 2 項,第 13 條的實質義務明確排除於委任範圍之外,產品瑕疵責任及實質網路安全義務仍歸屬於製造商。部分會員國國內法可能擴張授權代表的責任範圍,故書面授權的草擬須特別注意該等國別差異。
CRA 授權代表與 MDR 或 RED 授權代表是否相同?
「授權代表」概念相通,但制度並不相同。MDR 第 11 條與 RED 第 5 條對非 EU 製造商強制要求選任授權代表;CRA 第 18 條第 1 項則為任意制。CRA 第 18 條第 3 項的業務範圍限於文件保管、機關請求回應、風險消除配合,較 MDR 或 RED 為窄。已於 MDR 或 RED 委任授權代表的製造商,得以該等既有關係為起點,但仍須另行訂立反映 CRA 範圍及第 18 條第 2 項委任不可規則的書面授權。
授權代表是否簽署 EU 適合性聲明(DoC)?
並非如此。EU 適合性聲明依第 28 條由製造商作成並簽署。授權代表依第 18 條第 3 項(a) 負有將已簽署之 DoC 與技術文件提供市場監督機關閱覽的義務,但聲明行為本身屬於製造商的責任,並依第 18 條第 2 項排除於授權代表的委任範圍之外。
選任後可否變更授權代表?
可以。委任係製造商與授權代表間的契約關係,依契約條款得以終止。變更時,新授權代表承接技術文件與 DoC 的保管,製造商則應更新先前向市場監督機關通報的聯絡資訊。建議於書面授權範本內預先納入明確的交接程序條款。

於 CRA Evidence 確認第 18 條營運

第 18 條第 3 項(a)(b)(c) 所定業務(DoC · 技術文件 10 年保管、機關請求回應、矯正措施紀錄)可於實際畫面進行檢視。委任授權代表、公司內部營運、與進口商分工等情境,證據皆於 CRA Evidence 平台上運作。提供台灣製造商免費評估。

免費評估申請 授權代表事務所介紹諮詢