我是否受到影響?
若您的產品含有軟體或韌體,且您向任何EU國家銷售,您很可能在適用範圍內。請使用適用性確認工具確認。
確認CRA是否適用於您的產品 →您的角色:製造業者還是進口商?
即使您透過EU經銷商或進口商銷售,他們也將在2027年後下單前,以合約方式要求您提供合規文件。
CRA要求您製作的文件
- SBOM——產品中所有軟體元件的完整清單
- 漏洞揭露流程及公開聯絡點
- 記錄產品設計與安全措施的技術文件
- EU適合性宣言(EU DoC)
- 產品上的CE標誌
- EU市場所需語言的使用說明
您的持續義務
- 監控影響已出貨元件的新CVE
- 在產品生命週期內(最少5年)發布安全更新
- 發現被積極利用的漏洞時,須在24小時內向ENISA通報
- 資安事件通報:24小時早期預警、72小時完整通報、30天最終報告
核心術語
實用免費工具
- Syft及cdxgen——從程式碼庫或容器生成SBOM
- Trivy——元件CVE掃描
- OSV.dev——依套件名稱與版本查詢CVE