我是否受到影響?
若你的產品含有軟體或韌體,且你向任何EU國家銷售,你很可能在適用範圍內。請使用適用性確認工具確認。
確認CRA是否適用於你的產品 →你的角色:製造業者還是進口商?
即使你透過EU經銷商或進口商銷售,他們也將在2027年後下單前,以合約方式要求你提供合規文件。
現有台灣認證與 CRA 的差距
BSMI 認證代表你已熟悉符合性評估流程。CRA 遵循相同模式(技術文件、EU 適合性聲明、CE 標章),差距在於 SBOM 與持續漏洞通報義務。
BSMI(經濟部標準檢驗局)
IEC 62443-4-1
TAICS
ISO/IEC 27001
TWCERT/CC
各認證的 CRA 涵蓋範圍詳細說明 →
EU 授權代表(CRA 第 18 條 · 任意)
無 EU 據點的製造商,依 CRA 第 18 條第 1 項得以書面授權選任 EU 授權代表。選任係任意,CRA 條文中並無如 MDR 第 11 條或 RED 第 5 條對非 EU 製造商的強制條款。第 18 條第 3 項規範選任時的業務上限:技術文件與 EU 適合性聲明保管至少 10 年(或支援期間,取較長者)、回應市場監督機關合理請求、配合風險消除措施。第 18 條第 2 項排除第 13 條的實質網路安全義務,故不得委任,製造商仍為終局責任主體。
CRA要求你製作的文件
- SBOM——產品中所有軟體元件的完整清單
- 漏洞揭露流程及公開聯絡點
- 記錄產品設計與安全措施的技術文件
- EU適合性宣言(EU DoC)
- 產品上的CE 標章
- EU市場所需語言的使用說明
你的持續義務
- 監控影響已出貨元件的新CVE
- 在產品生命週期內(最少5年)發布安全更新
- 發現被積極利用的漏洞時,須在24小時內向ENISA通報
- 資安事件通報:24小時早期預警、72小時完整通報、30天最終報告
核心術語
實用免費工具
- Syft及cdxgen——從程式碼庫或容器生成SBOM
- Trivy——元件CVE掃描
- OSV.dev——依套件名稱與版本查詢CVE