智慧電表閘道器與能源計量的 CRA 指南
摘要
智慧電表閘道器是 CRA 放進最高層級、也就是它所標示的 關鍵 等級的唯一能源產品。這改變了工作內容。關鍵產品無法像一般路由器那樣自行宣告合規,它必須由外部評鑑者簽核。你的裝置究竟是那個閘道器,還是只是一台標準的連網電表,取決於你最先寫下的一份紀錄:計量邊界備忘錄。
並非每一台計量裝置都是關鍵。子電表、熱費分配計、水表無線模組或消費端能源橋接器,雖然仍受 CRA 涵蓋,但不會自動成為智慧電表閘道器。關鍵這個標籤,是給作為智慧計量系統通訊單元的閘道器,以及為執行安全工作而販售的裝置。2025 年的一項歐盟規則使這點具有拘束力,並確認它也涵蓋瓦斯與熱能閘道器,而不只電力。電表不會只因為它量測用量或使用加密,就成為關鍵產品。
在德國模式中,一個獨立的通訊盒位於電表與網路之間。法國、西班牙與義大利的做法不同:電表在單一單元中量測並通訊,並與本地變電所內的資料集中器對話,沒有屋內盒。在這些市場中,關鍵的判定移到了集中器。
備忘錄列出系統的各個部分:電表、閘道器、下行連到電表的鏈路、家庭與廣域連線、保管金鑰的安全模組、管理整批裝置的管理者、更新服務、讀數隱私資料、安裝人員工作流程,以及製造商與公用事業之間的分工。那一個決定就設定了合規路徑。
在合規路徑開始之前,有兩件事先塑造了這份檔案。第一,CRA 評估不會簽核已封印的計量功能:安全更新在觸及法定相關的量測軟體之前,仍需要一次計量影響檢查。第二,針對遭積極利用的漏洞與嚴重事件的通報義務,自 2026 年 9 月 11 日起算,早於 2027 年 12 月 11 日全面適用的 CRA,而且涵蓋已在市場上的產品,因此即使 CRA 的其餘部分僅在實質修改後才適用,已安裝的電表或閘道器群仍可能背負一項即時的通報義務。
| 產品變體 | 可能的 CRA 路徑 | 原因 |
|---|---|---|
| 智慧計量系統中的智慧電表閘道器 | 關鍵產品路徑 | CRA 把智慧計量系統內的智慧電表閘道器列入其關鍵層級 |
| 連網電力子電表、瓦斯、熱能或水表子電表或無線模組 | 除非適用另一項列名功能,否則走標準範圍路徑 | 一項連網計量產品,而非作為智慧計量系統通訊單元的閘道器 |
| 隨閘道器一同供應的前端軟體 | 視邊界而定 | 在達成預期功能所必需時,可能屬於產品的一部分 |
| 消費者用能源資料橋接器 | 標準路徑 | 通常用於顯示或轉送讀數 |
| 為進階安全目的(含安全密碼處理)而販售的裝置 | 關鍵產品路徑 | 驅動路徑的是進階安全目的,而非加密的一般使用 |
| 整合式 DSO 電表(Linky、西班牙或義大利型號) | 多數設計下走標準路徑 | 一個連網端點電表,而非系統的通訊單元 |
| 次級變電所內的資料集中器 | 關鍵路徑候選,於邊界備忘錄中確認 | 計量系統的聚合與通訊控制節點 |
CRA 對智慧電表閘道器的要求
CRA 把智慧電表閘道器視為一項由多個數位元件組成的產品。產品可能涵蓋電表韌體、閘道器作業系統、通訊模組、DLMS/COSEM(標準計量資料協定)或專有電表協定堆疊、SIM、eSIM 或無線憑證、金鑰儲存、前端連接器(連到公用事業中央彙集系統的鏈路)、本機顯示器、行動 App、雲端入口、更新服務、安裝工具與漏洞處理流程。它通常排除公用事業的計費系統、法定計量核可、電網運作系統與客戶能源合約,除非由同一製造商把這些當作產品的一部分供應。
那道邊界是這份檔案的核心。證據必須讓網路安全與法定計量保持分離,同時仍記錄閘道器、電表與前端之間的介面。依量測儀器指令與各國計量規則所做的計量核可,回答的是與 CRA 不同的問題。一個證明量測正確且封印,另一個證明連網產品在其支援期間內能抵禦攻擊。把兩者混為一談的製造商,最後會得到一份兩位審查者都無法滿足的檔案。
| 要求領域 | 智慧電表閘道器製造商應掌握什麼 |
|---|---|
| 預期用途 | 智慧計量系統中的閘道器、子電表、分配計、無線模組、消費端橋接器,或為進階安全目的而販售的裝置 |
| 關鍵檢查 | 產品究竟是智慧計量系統內的閘道器,還是走標準路徑的另一項連網計量產品 |
| 產品邊界 | 電表介面、閘道器、通訊模組、安全模組、前端連接器、本機顯示器、安裝工具、更新服務,以及排除的公用事業系統 |
| 預設安全狀態 | 每一條鏈路皆雙向驗證、無共用整批祕密、簽章更新、拒絕降版、最小化資料曝露、鎖定除錯存取 |
| 金鑰生命週期 | 每台裝置的身分、憑證佈建、輪替、撤銷、開通與除役,並以安全模組作為信任錨 |
| 讀數隱私 | 區間資料、竄改與斷電事件、佔用推斷、處理設定檔、假名化、保存與支援匯出 |
| 更新路徑 | 簽章韌體、計量影響決定、分階段整批推出、復原與後援 |
| 角色分工 | 電表製造商、閘道器製造商、公用事業、閘道器管理者、安裝人員、進口商與任何貼牌責任 |
| 支援與通報 | 支援期間聲明、安全更新可取得性、單一漏洞聯絡窗口,以及依 第 14 條 的通報工作流程 |
網路安全要求與證明這些要求的技術文件,對每一項 CRA 產品的運作方式都相同,技術文件指南 已涵蓋這些。本頁只談計量閘道器特有的部分:關鍵分類、合規路徑、閘道器架構,以及計量特有的證據。
你的裝置屬於關鍵層級嗎?
關鍵這個標籤很窄,而計量產品可能落在它的任一側。當一台裝置是計量系統的通訊單元時,它就是關鍵閘道器:它控制連到公用事業的鏈路、處理電表與個人資料、執行加密,並能對系統設防火牆、控制其他裝置。只量測並回報的電表維持在標準路徑上,而以強加密保護一般功能也不會使裝置成為關鍵。委員會實施規則 (EU) 2025/2392(實施規則)自 2025 年 12 月 21 日起具拘束力,訂下該測試,並把它延伸到瓦斯與熱能閘道器,而不只電力。請在邊界備忘錄中一次確定答案。上方的摘要表把常見變體對應到各自的路徑。
各歐盟市場的架構差異
德國採用獨立閘道器模式,配有一個分離的通訊單元,關鍵清單正是圍繞這個模式制定的。法國、西班牙與義大利的計量方式不同。它們採用整合式電表,在單一封印單元中量測並通訊,並直接連到次級變電所內的資料集中器,中間沒有屋內閘道盒。集中器負責聚合與上行鏈路,因此 CRA 證據仍然成立,只是附著在不同的裝置上,關鍵路徑的判定也隨之移動。德國模式在下方有其專屬章節。
三個市場的形狀相同:客戶端一台整合式電表、沿低壓線路上行的窄頻電力線載波、配電變電所內的一台集中器,然後是連到營運者的行動鏈路。改變的是電力線技術、消費者通道,以及義大利的第二個無線介面。在每個市場中,集中器都是聚合眾多電表、並控制與獲授權第三方之間通訊的節點。整合式電表通常是走標準路徑的連網產品。兩種判定都不是自動的。實施規則把分類建立在核心功能上,因此一台自身功能符合閘道器描述的電表,可被論證納入關鍵層級,而製造商是在邊界備忘錄中確定這道分界,而非逕自假設。
法國:Enedis Linky
Linky 電表身兼兩職。它量測用電,並從單一單元上行通訊,直接連到 HTA/BT(中壓至低壓)次級變電所內的一台集中器,而不透過屋內閘道器。鏈路是 CENELEC A 頻段(低頻公用事業頻段)的窄頻電力線載波,主要為 G3-PLC 設定檔,其中一部分裝置採用第一代 S-FSK 方案。集中器透過公用行動網路(原始設計為 GPRS)回程到 Enedis 中央系統。Enedis 是營運該系統的配電系統營運者,而非電表製造商。消費者介面為選用:電表提供一個 TIC 資訊埠,屋內顯示器可透過一個獨立無線模組讀取,屬於附加元件而非 Enedis 的標準設備。推行於 2015 年起步,達到約 3,500 萬台電表。
西班牙:PRIME 與 Meters and More
西班牙採用相同的三層結構:客戶端一台整合式 DLMS 電表、centro de transformación 內的一台集中器,以及 DSO 端的一個前端。低壓電力線技術依營運者而分。Iberdrola(i-DE)與 UFD 採用 PRIME,而 Endesa(e-distribución)採用 Meters and More。集中器聚合電表、轉送命令並監管低壓電網,並透過 STG-DC 監管協定與前端對話。它透過公用網路鏈路回程,常見為行動網路且常經 VPN。法源主幹是 Orden ITC/3860/2007,它要求以遠端管理單元替換電表,因此西班牙很早就達到近乎完整的覆蓋,約 2,700 萬台低壓電表。
義大利:e-distribuzione Open Meter
義大利是歐盟第一個大規模推行的市場,自 2001 年起以第一代 Telegestore 起步,如今進入第二代 Open Meter,至 2023 年已安裝約 3,000 萬台電表。ARERA 允許 Chain 1 透過 A 頻段電力線、169 MHz 無線介面或其他電信技術運行,而 Open Meter 攜帶結合 A 頻段電力線與 169 MHz 無線的雙重 Chain 1 介面。一條獨立的 C 頻段 Chain 2 電力線通道連到選用的消費端 User Devices,由 CEI TS 13-82 至 13-85 系列標準化,並由 ARERA 第 87/2016 號決議規定。MT/BT(中壓至低壓)變電所內的集中器,用 e-distribuzione 自己的話來說,是網路自動化的資訊樞紐與作動器,並透過公用 GSM、GPRS、UMTS 或 PSTN 網路回程。
| 市場 | 電表形式 | 低壓鏈路 | 聚合節點 | 回程 | 消費者通道 | 關鍵路徑候選 |
|---|---|---|---|---|---|---|
| 德國(SMGW) | 獨立閘道器加電表 | 連到閘道器的本地計量網路 | 閘道器 | 廣域行動網路或其他 | 家庭網路與消費者顯示器 | 閘道器 |
| 法國(Linky) | 整合式電表 | G3-PLC,CENELEC A 頻段 | HTA/BT 變電所內的集中器 | 行動網路,原始為 GPRS | 選用的 TIC 埠與無線顯示器 | 集中器 |
| 西班牙(PRIME、Meters and More) | 整合式 DLMS 電表 | PRIME 或 Meters and More PLC | centro de transformación 內的集中器 | 行動網路,部分為光纖或無線 | 此處未詳述 | 集中器 |
| 義大利(Open Meter) | 整合式電表 | PLC A 頻段與 169 MHz RF | MT/BT 變電所內的集中器 | GSM、GPRS、UMTS 或 PSTN | Chain 2 PLC C 頻段連到 User Devices | 集中器 |
這些都不宣告集中器為關鍵產品。它通常是較強的候選。判定因裝置與用途而異,取決於實施規則中的核心功能描述,且應放進製造商的邊界備忘錄。下方的決策是該測試的精簡版。
獨立閘道器系統如何建構(德國模式)
這是獨立閘道器模式,配有一個自成一盒的獨立通訊單元。在上述整合式電表市場(法國、西班牙與義大利)中,這些相同的證據邊界也存在,但它們收攏進電表與電網集中器,而非一個獨立的閘道器。智慧電表閘道器是智慧計量系統的中央通訊單元。BSI 把它描述為接收並儲存來自電表的資料、並為有權檢視的市場參與者加以處理的中央元件。聯邦網路署(Bundesnetzagentur)稱它為系統的核心。閘道器位於三個網路之間,而三者的信任錨都是一個專用的安全模組。每一道邊界都是一塊 CRA 證據的附著處,因此值得把架構畫得精確。
這三個網路各承載不同的風險與不同的控制:
- 本地計量網路(LMN) 把閘道器連到一個或多個最終消費者的電表(電力、瓦斯、水或熱能)。這是讀數進入產品的地方。此處的證據涵蓋閘道器如何驗證電表、如何拒絕來自未授權電表的讀數,以及電表至閘道器的鏈路如何配對與保護。
- 家庭網路(HAN) 把閘道器連到可控的本地系統,例如屋頂太陽能、汽電共生、熱泵與電動車充電,連到維護期間的維修技師,以及連到有權檢視自身用量的消費者。此處的證據涵蓋消費者檢視與裝置祕密之間的隔離,以及任何到達本地系統的控制命令的範圍。
- 廣域網路(WAN) 把閘道器連到外部市場參與者(能源供應商、電網營運者與計量點營運者),以及閘道器管理者。這是整批裝置的路徑。此處的證據涵蓋雙向驗證、憑證保管、電表資料在到達市場參與者之前的假名化,以及決定哪些資料送往何處的處理設定檔。
安全模組 是信任錨。BSI 把它定義為密碼金鑰素材的安全儲存位置,提供簽章建立與驗證、金鑰生成、金鑰協商與亂數生成的密碼核心常式。若安全模組穩固,閘道器就能在每一個網路上證明自己的身分。若它薄弱,下游其餘所有控制都建立在流沙之上。CRA 檔案應把安全模組視為一個具名元件,配有自身的供應商證據、自身的更新說明,以及在圖中自身的邊界。
閘道器管理者(GWA) 透過廣域網路遠端組態、管理並監控閘道器。它推送韌體、設定組態與處理設定檔,並監看整批裝置。從 CRA 的角度看,閘道器管理者是一條特權遠端控制路徑,很像路由器上的自動組態伺服器。檔案必須記錄管理者的身分、它能下達命令的範圍、它據以驗證的信任錨,以及它留下的稽核軌跡。
接著有數項控制疊加在連線上,每一項都是檔案中一塊獨立的證據。
廣域鏈路以 TLS 保護,保護閘道器與其對話實體之間的通道。
送往外部市場參與者的電表內容,另以 CMS(密碼訊息語法)端到端保護,使酬載在傳輸端點之後仍受保護。
讀數在到達市場參與者之前先行假名化,而處理設定檔決定哪一份資料集被最小化、聚合並路由給哪一個接收者。
實體防竄改保護裝置,防止其在現場遭操弄。
國家機制,獨立軌道。 德國早已依計量點運作法為這項裝置運行一套詳盡的國家制度,建構在一疊 BSI 標準之上:
- TR-03109-1:通訊單元的互通性要求,屬於較廣的 TR-03109 系列。現為 2.0 版。
- TR-03109-4:智慧計量公開金鑰基礎設施。
- BSI-CC-PP-0073:閘道器的共同準則保護輪廓。V2.0 於 2024 年 12 月通過認證。
- BSI-CC-PP-0077:安全模組的共同準則保護輪廓。
較早的 PP-0073 v1.3 與 TR-03109-1 v1.1 基準維持有效至 2027 年 12 月 31 日。
CRA 並未 採用 TR-03109。它的路徑走依委員會標準化請求所制定的自身調和標準。提及德國機制是為了誠實說明:監管機關早已對 CRA 如今列為關鍵的這項裝置要求此等深度的安全架構,因此閘道器製造商必須跨過的門檻並非紙上談兵。德國也不是唯一的 2027 年前門檻。一台具無線電的電表如今在每個市場都已負有 RED 資安要求,下方的 與 RED、MID、GDPR 和 NIS2 的重疊 即說明這點。
| 架構檢查點 | 證據提示 |
|---|---|
| 電表至閘道器鏈路(LMN) | 記錄光學、有線、無線、DLMS/COSEM 或專有鏈路,以及閘道器如何驗證電表並拒絕未授權電表。 |
| 家庭網路(HAN) | 展示消費者檢視、維修技師存取與可控本地系統命令之間的隔離,使家庭檢視無法觸及裝置祕密。 |
| 廣域網路(WAN) | 展示雙向驗證、憑證與金鑰保管、重連行為,以及哪個市場參與者接收哪一份資料集。 |
| 安全模組 | 把金鑰儲存與密碼常式視為具名元件,配有供應商證據、更新說明與防竄改。 |
| 閘道器管理者 | 記錄遠端組態與韌體的管理者身分、命令範圍、信任錨與稽核軌跡。 |
| 假名化與設定檔 | 展示讀數在何處假名化,以及哪一份處理設定檔對每一份資料集進行最小化與路由。 |
| 計量邊界 | 把網路安全更新與法定相關計量軟體分離,並記錄何處需要相鄰的計量核可。 |
關鍵產品的合規路徑如何運作
由於閘道器是關鍵,重要第一類路由器可採用的自我宣告路徑就此關閉。它走 第 32 條 的外部路徑:第三方檢驗或完整的品質保證稽核,或在 第 8 條 下某個歐洲資安認證機制適用時走該機制。目前尚無機制對閘道器強制適用,因此今日的路徑是第三方或品質系統評估,並把機制列為未來須追蹤的觸發條件。各程序的運作機制在 適合性評估指南 中。計量特有的關鍵點是計量邊界:CRA 評估不會簽核法定相關的量測功能,因此請把合規證據與計量核可保持為分開的紀錄。
技術文件應包含哪些證據
這份檔案應讓審查者能順著閘道器,從產品識別一路追到資安控制而無須猜測。下表列出上方要求表尚未涵蓋的檔案特有紀錄:識別、關鍵判定、合規產出與元件盤點。對計量閘道器而言承擔最多份量的兩份紀錄,也就是金鑰與憑證生命週期,以及計量相關變更與純資安變更之間的分界,於其下完整繪出。
| 證據領域 | 應保留的計量證據 |
|---|---|
| 產品識別 | 電表與閘道器型號、計量韌體、通訊模組、安全模組零件與硬體版次 |
| 關鍵判定 | 產品究竟是智慧計量系統內的閘道器,還是另一項連網計量產品,並記錄理由 |
| 合規產出 | 公告機構的 EU 型式檢驗證書或完整品質保證核准、歐盟符合性聲明,以及 CE 標章,僅在機構走完整品質保證路徑時才加上公告機構編號 |
| 元件盤點 | 出貨數位元件的版本化清單,附具名負責人與供應商通告監看 |
安全模組使金鑰生命週期不同於一般 IoT 的金鑰做法。一個每台裝置的祕密在工廠注入,且從不以明文離開模組。在安裝時,安裝人員在從不經手整批金鑰下,把閘道器綁定到其電表與營運者角色,因此外洩的安裝人員憑證無法冒充整批裝置。在運作中,閘道器以設定的信任錨向前端驗證,並記錄每一筆讀數、竄改事件與更新。輪替是排程、事件驅動或由角色變更觸發,且同時更新閘道器與營運者的紀錄。在退役時,舊綁定被撤銷、金鑰被銷毀或停用,因此退回或換下的閘道器無法繼續充當現役電表閘道器。
第二份計量特有的紀錄,是法定相關計量軟體與純資安變更之間的分界。閘道器製造商出貨安全修補的頻率遠高於計量變更,而檔案必須證明一次安全更新沒有悄悄變動已核可的量測功能。下方的矩陣是決策輔助:它告訴製造商在何處記錄資安決定,以及何處需要相鄰的計量核可或一個由營運者協調的變更視窗。
計量與資安更新分界。 安全修補必須對照法定相關軟體評估,而不假裝 CRA 取代計量核可。
| 變更領域 | 變更範例 | 決策問題 | 發行路徑 | 證據 |
|---|---|---|---|---|
| 法定相關計量 | 量測計算或封印的電表韌體 | 這是否影響已核可的計量功能? | 暫停以待計量影響決定 | 影響評估與核可紀錄 |
| 閘道器安全 | TLS、配對、更新代理程式或金鑰儲存修補 | 修補能否在不變更量測邏輯下出貨? | 可回滾的簽章安全更新 | 計量影響決定紀錄、測試結果與客戶通知 |
| 通訊模組 | 行動數據機韌體或協定函式庫修補 | 供應商更新是否變更曝露的服務或憑證? | 分階段現場更新 | 供應商通告決定與相容性測試 |
| 前端連接器 | 匯出格式、信任錨或配對工作流程 | 營運者是否需要一個協調的變更視窗? | 由營運者協調的推出 | 營運者指示與遷移日誌 |
決策關卡: 這道分界不是繞過計量或公用事業核可的捷徑。它告訴製造商在何處記錄資安決定,以及何處需要相鄰核可或營運者暫停。它所回答的問題:這項修補能否以資安更新出貨,還是觸及法定相關計量軟體?產物:每次發行的計量影響決定紀錄。
真實的計量風險評估長什麼樣
把這當作關鍵層級檔案所需深度的範例。製造商仍須針對其真實的閘道器、安全模組、電表協定堆疊、通訊模組、供應商元件、更新歸屬、銷售宣稱與支援期間承諾,逐一執行評估。
資產盤點
範例產品:ExampleCo GridMeter G2,一款智慧電表閘道器,搭配電力電表、一個行動通訊模組、一個硬體安全模組、一個公用事業前端連接器、一個消費者顯示介面、簽章韌體更新與一個安裝開通工具。
產品邊界涵蓋閘道器硬體、安全模組、電表介面、通訊模組、金鑰儲存、前端連接器、消費者顯示介面、韌體更新服務、安裝工具、協同揭露受理窗口與通告流程。它排除公用事業的計費系統、法定計量核可、電網運作系統與客戶能源合約,除非由同一營運者把這些當作產品的一部分供應。
| 資產 | 為何重要 | 位於何處 |
|---|---|---|
| 電表至閘道器鏈路(LMN) | 把計量資料帶入產品,且必須拒絕未授權電表 | 電表介面、配對素材、LMN 協定堆疊 |
| 硬體安全模組與金鑰儲存 | 持有在每一個網路上證明閘道器身分的金鑰 | 安全模組、金鑰儲存、佈建紀錄 |
| 前端與 WAN 連線 | 通往市場參與者與閘道器管理者的特權路徑 | 行動模組、WAN 憑證、憑證儲存 |
| 閘道器管理者命令路徑 | 一條整批控制路徑可一次作用於眾多閘道器 | WAN 管理、管理者憑證、命令稽核 |
| 韌體簽章信任錨 | 保護更新通道免於回滾與竄改 | 開機載入器、安全儲存、OTA 更新服務 |
| 區間讀數與隱私資料 | 細粒度用量可揭露佔用與行為 | 讀數儲存、處理設定檔、支援匯出 |
| 安裝開通工作流程 | 開通權限把閘道器綁定到電表與營運者角色 | 安裝工具、安裝人員入口、配對證明 |
| 通訊模組韌體 | 數據機漏洞影響可用性與曝險 | 行動模組、供應商 SDK、供應商通告 |
| 計量邊界 | 安全更新不得悄悄觸及法定相關量測軟體 | 已封印的計量功能、發行流程、計量影響紀錄 |
記錄角色分工與排除的公用事業系統。
路徑檢查 | 產品檔案 | 風險檔案 | 支援期間聲明
金鑰生命週期、隱私審查、韌體測試與公用事業驗收證據。
協定函式庫監看、數據機韌體證據、金鑰儲存測試與供應商通告。
撤銷程序、安裝人員指示、備品更新路徑與客戶通知紀錄。
閘道器最敏感於隱私的輸出是區間讀數。細粒度的用量資料可揭露佔用、家電使用與行為,因此檔案需要一個清楚的最小化收束點,以及一個清楚的答案,說明調查期間支援能看到什麼。下方的流程把這點扣回架構章節的假名化與處理設定檔控制。
讀取頻率因營運者或市場而異。閘道器只記錄所支援的資料集。
一份處理設定檔只保留所述功能所需者,讀數在到達市場參與者之前先行假名化。
消費者與營運者檢視與原始裝置祕密及配對素材分開。
支援匯出移除金鑰、精確拓樸與不必要的個人細節。產物:支援封包遮蔽清單。
信任邊界
| 環境 | 預期曝險 | 風險後果 |
|---|---|---|
| 電表鏈路(LMN) | 可從現場已安裝的電表觸及 | 未授權或偽冒的電表可注入虛假讀數 |
| 家庭網路(HAN) | 與消費者顯示器及可控本地系統共用 | 薄弱隔離可外洩讀數或觸及控制功能 |
| 廣域網路(WAN) | 持續曝露於外部市場參與者與管理者 | 憑證或證書遭入侵可橫跨整批裝置擴散 |
| 閘道器管理者路徑 | 具特權的遠端組態與更新通道 | 命令範圍過大或管理者遭入侵會影響眾多閘道器 |
| 安全模組介面 | 由每一次簽章、驗證或儲存金鑰的操作觸及 | 薄弱的模組會瓦解下游每一項控制 |
| 更新與復原路徑 | 接收具特權的韌體映像 | 薄弱簽章或回滾會重新引入已知漏洞 |
| 支援與讀數匯出 | 從裝置跨越到營運者與支援人員 | 未遮蔽的匯出可曝露金鑰、拓樸或個人用量資料 |
威脅情境
| ID | 威脅情境 | 受威脅資產 | 進入點 |
|---|---|---|---|
| M1 | 閘道器接受來自未授權電表的電表讀數 | 讀數完整性 | 電表鏈路 |
| M2 | 前端憑證或裝置金鑰跨批次重複使用 | 整批裝置驗證 | 佈建 |
| M3 | 韌體回滾重新引入一個已知漏洞 | 韌體完整性 | 更新代理程式 |
| M4 | 區間資料透過支援匯出外洩佔用資訊 | 讀數隱私 | 支援封包 |
| M5 | 承包商離場後安裝人員帳戶仍有效 | 開通權限 | 安裝人員入口 |
| M6 | 消費者介面曝露另一戶的讀數 | 隱私 | 雲端或本機 API |
| M7 | 影響計量的更新出貨時未與安全修補分離 | 計量邊界 | 發行流程 |
| M8 | 行動數據機漏洞在支援期間未獲分流 | 閘道器可用性 | 供應商模組 |
| M9 | 恢復原廠設定未撤銷公用事業綁定或舊金鑰 | 所有權、金鑰 | 替換或退回 |
| M10 | 閘道器管理者命令範圍超出已評估設定檔 | 整批裝置控制 | WAN 管理 |
初始風險登錄
| ID | 可能性 | 衝擊 | 初步決定 | 理由 |
|---|---|---|---|---|
| M1 | 低 | 高 | 發行前處理 | 讀數完整性是核心 |
| M2 | 低 | 嚴重 | 發行前處理 | 金鑰重複使用可橫跨整批裝置擴散 |
| M3 | 低 | 嚴重 | 發行前處理 | 更新弱點削弱支援 |
| M4 | 中 | 中 | 發行前處理 | 計量資料敏感於隱私 |
| M5 | 中 | 高 | 發行前處理 | 安裝人員影響眾多裝置 |
| M6 | 低 | 高 | 發行前處理 | 跨戶外洩很嚴重 |
| M7 | 中 | 高 | 發行前處理 | 計量與資安更新互相影響 |
| M8 | 中 | 中 | 發行前處理 | 通訊模組老化快 |
| M9 | 中 | 高 | 發行前處理 | 替換與退回是常態 |
| M10 | 中 | 嚴重 | 發行前處理 | 一條整批控制路徑可影響眾多閘道器 |
控制與證據對應
| 威脅 | 設計控制 | 製造商應保留的證據 |
|---|---|---|
| M1、M2 | 雙向驗證、錨定於安全模組的每台裝置金鑰、佈建稽核 | 金鑰注入紀錄、配對測試 |
| M3 | 簽章更新、防回滾、復原驗證 | 更新測試、降版拒絕 |
| M4、M6 | 資料最小化、處理設定檔、假名化、租戶隔離、支援遮蔽 | 隱私審查、API 測試 |
| M5、M9 | 安裝人員角色分離、離場、替換與撤銷工作流程 | 角色測試、退回檢查表 |
| M7 | 計量影響評估與發行分離 | 發行決定紀錄 |
| M8 | 元件盤點與供應商通告監看 | 通告日誌、修補決定 |
| M10 | 最小權限管理者設定檔、憑證清冊、命令稽核 | 設定檔審查、命令稽核樣本 |
套用控制後的殘餘風險
| 殘留領域 | 為何仍存 | 營運證據 |
|---|---|---|
| 公用事業系統 | 計費與前端營運可能落在產品製造商的控制之外 | 角色分工備忘錄 |
| 隱私推斷 | 細粒度讀數仍可揭露行為 | 保存與最小化紀錄 |
| 認證路徑 | 關鍵產品處置取決於機制與未來的授權法案 | 路徑決定日誌、機制監看備註 |
智慧電表閘道器的元件清單應放入什麼?
元件清單的通用機制、格式選擇與簽章,落在 元件清單指南、HBOM 指南 與 BSI TR-03183 指南。閘道器特有的是樹狀結構的形狀。它是一項出貨多個更新週期各自獨立的數位元件的硬體產品,頂層元件鮮少少於十個、往往接近二十個,每個都有自身的供應商、更新節奏與通告來源。把它們列為一份產品層級的清單,內含按元件分節的內容,或每個出貨元件各一份清單,只要可由機器讀取且涵蓋頂層相依即可。
| 元件 | 在閘道器中的功能 | 具體範例 |
|---|---|---|
| 安全開機載入器與信任根 | 驗證並啟動簽章韌體鏈 | 一個量測式或驗證式開機的第一階段,在作業系統載入前檢查簽章並拒絕降版映像 |
| 作業系統與核心 | 閘道器運行的平台 | 以 Yocto/OpenEmbedded 在長期支援核心上建構的嵌入式 Linux,或一個強化的 RTOS |
| 計量韌體 | 已封印的法定相關量測功能 | 依量測儀器指令 (2014/32/EU) 與各國計量法封印的電表量測韌體。僅在電表屬於投放市場產品的一部分時,才落在閘道器邊界內,否則它位於電表中,並依 WELMEC 7.2 軟體指南識別 |
| 電表協定堆疊(LMN) | 透過本地計量網路讀取電表 | 一個 DLMS/COSEM(Device Language Message Specification / Companion Specification for Energy Metering)堆疊(IEC 62056)。在德國部署中,為 SML(Smart Message Language)與帶 OMS(Open Metering System)設定檔的 Wireless M-Bus(EN 13757-4) |
| 通訊模組韌體(WAN) | 承載連到市場參與者的廣域鏈路 | NB-IoT 或 LTE-M 行動模組上的供應商基頻韌體(例如 u-blox 或 Quectel)。部分電網改用電力線回程 |
| 前端連接器/用戶端 | 與前端系統及閘道器管理者對話 | 一個實作營運者協定的 WAN 用戶端(在德國,為連到閘道器管理者的 TR-03109-1 鏈路) |
| 安全模組韌體與金鑰儲存 | 信任錨:金鑰儲存與密碼核心 | 一個對照共同準則保護輪廓評估的安全元件或 HSM(硬體安全模組)(在德國,為 BSI PP-0077) |
| PKI/憑證管理用戶端 | 註冊、續期並撤銷裝置憑證 | 一個對照營運者 PKI 的憑證用戶端(例如 EST 或 CMP)。在德國,為 TR-03109-4 智慧計量 PKI |
| TLS 函式庫 | 保護 WAN 通道 | mbedTLS、wolfSSL 或 OpenSSL |
| CMS 層 | 在傳輸端點之後對讀數做端到端內容保護 | 一個密碼訊息語法(RFC 5652)實作,為有權接收者簽章並加密電表內容 |
| 空中更新代理程式 | 套用具回滾的簽章韌體 | 一個 A/B 更新用戶端,例如 SWUpdate、Mender 或 RAUC,具簽章驗證與防回滾 |
| 處理設定檔與組態引擎 | 把每一份資料集最小化並路由給有權接收者 | 套用處理設定檔、並在讀數離開閘道器前加以假名化的元件 |
| 事件與竄改日誌子系統 | 為稽核軌跡記錄讀數、竄改與更新事件 | 一份僅供附加的事件日誌,餵入營運者稽核軌跡與計費爭議證據 |
| 安全時間來源 | 為憑證、日誌與費率提供受信任的時間 | 一個同步時鐘(例如已驗證的 NTP),支撐憑證效期與竄改事件時間戳 |
| 本機顯示器/HAN 介面 | 消費者透明檢視與可控本地系統鏈路 | 給最終消費者的本機網頁檢視,或連到家庭系統的 EEBus/OMS 介面 |
| 安裝/開通工具 | 在現場配對、佈建並替換閘道器 | 一個現場 App 或筆電工具,在不經手整批金鑰下把閘道器綁定到其電表與營運者角色 |
讓義務保持誠實。CRA 要求一份可由機器讀取、至少涵蓋頂層相依的清單,並在支援期間持續更新,搭配供應商通告監看,使數據機韌體或協定函式庫中的已知漏洞獲得分流而非被漏掉。它尚未強制一種固定格式,或超出頂層相依的深度。請呼應這項措辭,而非自創更嚴格的規則。
清單不是被動的列表。第 13 條 要求你在整合第三方元件(含開源)時行使盡職調查,使其不削弱閘道器的網路安全。在漏洞方面它走得更遠。當你在整合元件中發現漏洞時,你向製造或維護該元件的實體通報、依附件 I 漏洞處理規則在你的產品中修補,並在你已建立軟體或硬體修補時,把相關程式碼或文件分享回該維護者。行動模組與安全模組不只是清單上的條目。各自都是其自身具備數位元件的產品,承擔其自身的 CRA 義務,因此數據機基頻通告與安全模組勘誤是你的監看與向上游通報的一部分,而非他人的問題。
支援、更新與通報應如何運作?
電表群比多數消費性電子產品更長壽。閘道器留在牆內十年甚至更久,因此支援模式是檔案的一部分,而非事後補充。支援證據應涵蓋計量韌體、閘道器韌體、安全模組、通訊模組、前端連接器與安裝工具。長壽命的整批裝置也需要憑證機構延續性、簽章金鑰到期、備用閘道器基準,以及法定相關計量軟體與純資安更新之間分界的證據。
| 營運領域 | 應準備的證據 |
|---|---|
| 支援期間與更新可取得性 | 通用下限在 支援期間指南。對電表群而言,規劃一個符合多年部署、而非僅達下限的視窗,在購買時顯示年月格式的終止日,並為備用閘道器基準保留復原映像、雜湊與發行說明。 |
| 計量影響分離 | 一份每次發行的決定紀錄,顯示某項變更是否觸及已核可的計量功能,以及何處需要相鄰核可或營運者暫停。 |
| 單一漏洞聯絡窗口 | 為登記在案的製造商提供一個直接的漏洞通報聯絡窗口,而不只是自動化通道。當公用事業是貼牌閘道器的製造商時,由公用事業負責一條受理途徑。 |
| 元件盡職調查 | 對核心、協定堆疊、數據機韌體、安全模組、TLS 與 CMS 函式庫以及更新代理程式進行供應商通告監看,並做分流與修補擴散。 |
| 積極利用與嚴重事件通報 | 透過單一平台,向協調者 CSIRT 與 ENISA 依 CRA 時程通報,再加上閘道器特有的覆蓋:與公用事業協調使用者通知與任何緩解,並記錄修補的計量影響。預警、通報與最終報告的期限是跨產品的,詳見 漏洞處理指南 與 協同漏洞揭露指南。 |
安全更新必須與公用事業及閘道器管理者協調,使現場推出、計量影響與使用者通知皆可追溯。閘道器製造商無法像手機 App 那樣推送整批更新。營運者掌握變更視窗,而檔案應展示這項協調,而非逕自假設。第 14 條 的通報義務自 2026 年 9 月 11 日起算,因此揭露政策與單一聯絡窗口應在那之前就已運作,而 CRA 的其餘部分自 2027 年 12 月 11 日起適用,那也是合規路徑與技術文件必須完成的日期。
有一條過渡規則對電表群的重要性,幾乎勝過任何其他產品。在適用日之前投放市場的產品,僅在其後遭實質修改時才落入完整 CRA,因此一台多年前安裝的電表不會回溯需要走合規路徑。有一項義務打破這條規則。遭積極利用的漏洞與嚴重事件的通報,涵蓋每一項已在市場上的範圍內產品,含已部署的整批裝置(第 69 條)。因此多年前佈設電表的製造商,仍須為其已部署整批裝置負起該通報,而公用事業僅在其為登記在案的製造商時才承擔,例如在重新貼牌或實質修改之後。請及早把已部署整批裝置對照這道分界,因為通報義務在檔案其餘部分之前就先落地。
進口商、經銷商與公用事業必須檢查什麼
閘道器的角色,往往比消費性產品分散到更多經濟營運者上:電表製造商、閘道器製造商、可能重新貼牌或營運整批裝置的公用事業、閘道器管理者與安裝人員。下方的交接圖顯示誰負責每一道售前檢查,以及什麼會在每個角色處擋下閘道器。
通用的 進口商 與 經銷商 義務一如任何產品般適用。計量特有的檢查在於建構與金鑰。進口商與經銷商應確認收到的建構就是已評估建構,而非重新貼牌的分叉。公用事業與安裝人員應在接受一批之前,檢查金鑰佈建、韌體基準、撤銷與替換工作流程,以及閘道器管理者設定檔。以自身名義投放閘道器、營運管理雲端,或實質修改韌體的公用事業,就該貼牌整批裝置承擔製造商義務,包含漏洞通報聯絡窗口。
非歐盟電表或模組製造商可依 第 18 條 委任一名歐盟 授權代表。條文用的是「得」,因此這是選項而非義務,你不應把授權代表記錄為強制。不可選的是歸屬路由。一項自有品牌或經實質修改的產品,會把投放或變更者變成製造商。檔案必須指名誰接收漏洞通報,以及當製造商位於歐盟之外時誰維持文件可取得。請在邊界工作中決定這道路由,而非在邊境才決定。
與 RED、MID、GDPR 和 NIS2 的關係
CRA 並非落在一張空桌上。一台智慧電表早已背負其他 CE 義務,而營運整批裝置的公用事業也有其自身義務。四項重疊決定檔案有多少是真正新增的。
| 制度 | 落在何處 | 它增添什麼,以及如何對應 CRA |
|---|---|---|
| 無線電設備指令 (2014/53/EU) | 一台具無線電的電表 | 透過第 3 條第 1 項涵蓋安全與 EMC 目標,因此 LVD 與 EMC 指令不另列。資安透過委任規則 (EU) 2022/30,自 2025 年 8 月 1 日起生效,早於 CRA。 |
| 量測儀器指令 (2014/32/EU) | 量測功能 | 證明量測正確且封印的計量核可,與資安是不同的問題。 |
| GDPR | 區間讀數資料 | 在 CRA 之上的資料保護義務,並有一份智慧電網影響評估範本可循。 |
| NIS2 (2022/2555) | 營運者,而非裝置 | 配電系統營運者自身的事件通報與風險管理義務,與製造商的 CRA 通報並存。 |
一份單一的歐盟符合性聲明列出每一項適用的法案,包含 RED、MID、RoHS 與 CRA。有兩件事讓製造商失手。
RED 資安如今已對一台無線電電表具拘束力。 它如今就必須符合 EN 18031-1、-2 與 -3 標準,早於 CRA。請持續同時符合兩者,直到委任規則 (EU) 2026/339 於 2027 年 12 月 11 日(CRA 適用日)廢止 RED 資安規則。
EMC 與低電壓指令不會列兩次。 在一台無線電電表上,RED 已涵蓋 EMC 與安全目標。那兩項指令僅對非無線電變體單獨適用。
常見問題
在 CRA 下每一台智慧電表都是關鍵嗎?
不是。關鍵清單聚焦於智慧計量系統內的智慧電表閘道器,以及目的為進階安全(含安全密碼處理)的裝置。子電表、熱費分配計、水表無線模組或消費端橋接器是帶數位元件的範圍內產品,但不會只因它量測用量或使用加密就成為關鍵。其中每一項都需要在 標準路徑 上做自身的邊界與預期用途分析。
智慧電表閘道器能像路由器那樣走內部控制路徑嗎?
不能。第一類路由器在完整套用相關調和標準後,可走內部控制自我宣告。關鍵閘道器則不能。第 32 條 在某機制適用時把它送往認證機制,或送往第三方檢驗或完整品質保證。請規劃對產品或流程的外部評估,而非自簽聲明。
閘道器今日需要一份資安證書嗎?
尚未,而這是最常見的過度宣稱。第 8 條 允許委員會對關鍵產品強制要求一份「重大」等級證書,但僅在有合適機制存在且可用時。目前並無此類機制生效,因此請把強制認證列為一項須追蹤的未來條件,而非對照一個尚未通過的機制宣稱已取得證書。
德國 BSI 機制是否滿足 CRA?
不是。BSI TR-03109 與保護輪廓 PP-0073 及 PP-0077,是依計量點運作法的德國國家制度。CRA 並未採用它們。CRA 路徑走依委員會標準化請求所制定的自身調和標準。德國機制是有用的脈絡,因為它顯示監管機關早已對這項裝置期待的安全架構深度,但一份 TR-03109 證書不是 CRA 的合規路徑。
計量核可是否滿足 CRA?
不是。計量核可證明量測正確且封印。CRA 證明連網產品在其支援期間內能抵禦攻擊。兩者互相影響,因為安全更新必須對照法定相關計量軟體檢查,但其一不取代另一。請把兩份紀錄分開保存,並記錄兩者之間的介面。
區間讀數隱私是否屬於 CRA 評估的一部分?
是。細粒度區間資料可揭露佔用與行為,因此評估應考量機密性與資料最小化。閘道器應在讀數到達市場參與者之前先行假名化、以處理設定檔只送出每個接收者所需者,並為任何支援匯出保留一份結構描述與一次遮蔽測試。一般資料保護制度在 CRA 之上適用,而非取而代之。
閘道器製造商應建立的第一份證據是什麼?
針對確切閘道器的計量邊界與關鍵路徑備忘錄:電表介面、家庭與廣域連線、安全模組、前端連接器、閘道器管理者與金鑰生命週期。那一份紀錄固定了關鍵判定,並讓合規路徑、供應商合約與進口商發行包都引用同一個決定。
若我的國家沒有獨立閘道器,例如法國、西班牙或義大利,這還適用嗎?
適用。那些市場採用整合式電表,在單一單元中量測並通訊,並直接連到次級變電所內的資料集中器,因此中間沒有屋內閘道盒。附件 IV 分析不會消失,它移到集中器,集中器聚合電表並控制計量系統與獲授權第三方之間的通訊。那正是實施規則描述所指向的功能,因此集中器通常是較強的關鍵路徑候選,而非自動答案。一台自身核心功能符合該描述的整合式電表,本身也可能被論證納入。請對照真實裝置執行邊界備忘錄,如 各歐盟市場的架構差異 所述。