歐盟網路韌性法（CRA）— 台灣製造商常見問題

是的——只要您將含有數位元素的產品投放歐盟市場，無論公司總部位於何處，CRA均適用於您。「投放市場」是指首次向歐盟客戶提供產品，包括透過在歐盟營運的分銷合作夥伴、線上商店或經銷商進行銷售。

非歐盟來源並無豁免。法規追蹤的是產品本身，而非製造商的所在地。

CRA涵蓋任何包含軟體或韌體且能直接或間接連接網路或其他裝置的產品。對於台灣製造商而言，這包括：

• NAS裝置、路由器、交換器及網路設備
• IoT感測器與閘道器
• 工業電腦與嵌入式控制器
• 具有連網功能的消費性電子產品（攝影機、顯示器、穿戴裝置）
• 銷售或授權給歐盟客戶的軟體產品

排除項目：受具有同等要求之特定產業法規涵蓋的產品（部分醫療器材、航空零組件）。

如果您向歐盟出口硬體且該硬體具備任何網路功能，在另有證明之前應假設其在適用範圍內。

不——這是台灣製造商最常見的重大誤解。

根據CRA，無論由誰負責分銷或CE標誌行政事務，製造商均承擔網路安全要求的主要責任。您的歐盟分銷商承擔有限義務（盡職調查，而非技術合規），但無法替代製造商在CRA第13至15條下的義務。

「我們的產品出貨給負責CE標誌事務的歐洲分銷商」——這描述了台灣出口商最常見的安排，但並不能轉移法律責任。若您的產品不合規，市場監管機關將追究製造商的責任，而您的分銷商將被要求配合指認您。

我們經常協助製造商處理這類情況——他們往往在歐盟分銷商開始以CRA合規文件作為繼續訂單的條件時，才意識到自身的法律責任。

CRA主要適用於將產品投放歐盟市場的最終產品製造商。但是：

• 若您的零組件具有獨立網路連接功能，或依據CRA附件三被列為「重要」產品，相關義務可能直接適用於您。
• 若您提供嵌入投放歐盟市場之產品的軟體元件，CRA的供應鏈條款即適用。

更重要的是：您的歐盟客戶將以合約方式要求您提供SBOM、漏洞揭露資訊以及零組件的安全文件。隨著大型製造商開始進行CRA合規工作，這種情況已在整個台灣供應鏈中日益普遍。

請立即做好準備——無論直接法律義務為何，這都已成為商業要求。

• 2026年9月：漏洞通報義務生效——需在24小時內向ENISA通報
• 2027年12月：CRA全面執行——所有投放歐盟市場的產品必須合規

2027年12月前已在市場上流通的產品享有過渡期寬限。2027年12月後首次投放市場的產品必須從第一天起即符合規定。

兩個期限之間15個月的差距至關重要：您的安全流程必須在完成完整技術文件和符合性評估之前就已投入運作。

是的。歐盟市場監管機關擁有廣泛的執法權力：

• 禁止將產品投放市場
• 強制從歐盟市場下架
• 強制從終端用戶處召回產品
• 最高1,500萬歐元或全球年營業額2.5%（以較高者為準）的財務罰款

執法在歐盟層面進行協調——一個成員國作出的決定適用於全部27個成員國。

2027年12月前投放歐盟市場的產品享有過渡條款保護。但是：

• 若您在2027年12月後繼續銷售同一產品，該產品必須合規
• 若您發布重大韌體或軟體更新，可能觸發全面合規義務
• 漏洞通報義務（2026年9月）適用於已在使用中的產品

我們建議立即對您在歐盟銷售量最高的產品啟動合規評估。

SBOM（軟體物料清單）是產品中每個軟體元件、程式庫和相依項目的完整清單——包括開源元件、第三方程式庫及其版本。

CRA要求製造商：

• 針對每個產品生成並維護SBOM
• 追蹤每個元件中的已知漏洞
• 應監管機關要求揭露SBOM
• 將其作為漏洞管理的運作基礎

SBOM並非一次性產出的文件——必須隨每次版本發布而更新。硬體產品的韌體通常包含數十個開源程式庫，且現有清單往往付之闕如。我們每次合作均從SBOM審查開始。

可有效轉移的部分：

• IEC 62443-4-1 → CRA附件一第二部分（安全開發生命週期）——這是現有認證中轉移效果最強的。若您已通過62443-4-1認證，您的SDL工作可大幅沿用。
• BSMI認證——您已了解符合性評估邏輯。CRA遵循相同模式：技術文件、符合性聲明（EU DoC）、CE標誌。您的團隊已熟悉此流程。
• Common Criteria → 適用於IC設計和安全晶片工作（Himax、Realtek生態系）
• ISO 27001 → 涵蓋組織安全治理；不涵蓋產品層面的要求

CRA要求而上述認證未涵蓋的部分：

• 每次產品發布時的SBOM生成與維護
• ENISA漏洞通報（24小時/72小時/14天時程）
• 依據CRA出具歐盟符合性聲明（EU DoC）
• 指定歐盟授權代表

我們的合作從結構化差距分析開始，確保現有認證工作不被重複進行。

CRA合規並非一次性審查——它需要嵌入開發工作流程的持續性流程：

• SBOM生成：在建置時自動執行（CycloneDX或SPDX格式），整合至CI/CD
• 相依項目漏洞掃描：持續監控NVD/GHSA/ENISA EUVD
• 漏洞分類與回應：具有明確時程的文件化流程，與SBOM連結
• CI中的安全測試：SAST、相依項目審計、容器掃描作為流程閘控
• 發布文件：連結至CVE修復記錄的自動化變更日誌

我們直接在GitHub Actions、GitLab CI、Jenkins或類似系統中設計並實作這些工作流程，而不是交給您一份檢查清單。

CRA第14條——這些時程不可協商，從您得知漏洞被積極利用的那一刻起即開始計算：

• 24小時：向ENISA通報您產品中任何正在被積極利用的漏洞
• 72小時：提交包含初步評估的初始漏洞報告
• 14天：提交詳細技術報告

大多數台灣硬體製造商完全沒有漏洞揭露流程。這是風險最高的缺口：2026年9月的執法時間早於2027年12月的CRA全面執法。

我們協助您制定CVD（協調漏洞揭露）政策、建立內部分類流程，並使您的團隊能夠在這些時程內運作。

典型的合作流程分為四個階段：

1. 評估：審查現有產品、開發流程和現有認證（IEC 62443、BSMI），對應CRA要求，並以優先順序產出書面差距分析。
2. 工作流程整合：設計並實作SBOM生成、漏洞追蹤和CI/CD流程變更——將CRA轉化為運作工作流程，而非文件作業。
3. 文件與法律：準備CRA所需的技術文件，與您的法律團隊合作（或協助您聯繫我們合作的歐盟律師），處理歐盟市場要求之技術文件的翻譯事宜。
4. 持續支援：漏洞監控、年度審查、新產品發布支援、協助回應市場監管機關查詢。

我們採遠端合作，提供適合台灣時區的排程。

CRA合規有兩個面向：技術與法律。大多數公司兩者都需要。

我們與專精於產品安全和CE標誌的歐盟合格律師合作。我們負責技術面的轉譯（將工程現實轉化為律師所需的文件），並協調雙方事務，讓您無需分別管理兩個獨立的工作軌道。

CRA技術文件必須以您產品銷售所在的各歐盟成員國官方語言提供。我們負責以下文件的翻譯：

• 技術文件（安全風險評估、測試報告、漏洞管理記錄）
• 符合性聲明（EU DoC）
• 面向用戶的安全資訊

若您在歐盟沒有設立機構，我們也協助您指定歐盟授權代表——這是CRA對所有非歐盟製造商的要求。

CRA不取代現有的CE標誌要求——它在現有要求之上增加了強制性網路安全義務。

• 無線電設備指令（RED）：第3.3(d)(e)(f)條的網路安全要求於2025年8月生效。對於無線產品（路由器、IoT閘道器、無線介面卡），RED與CRA有大量重疊——單一技術評估可同時滿足兩者的要求。
• 機械法規：新法規（2027年1月生效）包含安全相關控制功能的網路安全要求，其中引用了IEC 62443。

若您的產品受多項歐盟法規約束，我們在合作開始時即進行重疊分析，以避免重複合規工作。