CRA 合規詞彙表
理解 EU 網路韌性法、軟體供應鏈安全標準及合規要求的核心術語。
找不到相符的詞彙。
附件VII
CRA 附件VII規定了製造商須為含數位元素之產品擬定的EU適合性宣言的最低內容,包括產品識別、製造商詳細資料、所適用標準及授權代表簽名。
第13條 - 製造商義務
CRA 第13條規定核心製造商義務:設計安全、SBOM 維護、漏洞處理、在整個產品生命週期內提供安全更新,以及至少保留10年技術文件。
第14條 - 通報義務
CRA 第14條要求製造商於24小時內(早期預警)、72小時內(詳細報告)及14天內(最終報告)向 ENISA 通報被積極利用的漏洞。嚴重事件遵循相同模式,但最終報告截止期為30天。
Authorised representative - 第18條
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
CE 標章
表示符合 EU 法規的歐洲符合性標誌。依據 CRA,含數位元素之產品須標示 CE 標章方可在 EU 市場合法銷售。須完成符合性評估及EU適合性宣言。
符合性評估
驗證產品是否符合 CRA 基本網路安全要求的程序。預設產品 可使用自我評估(模組A),而 重要產品(第I類)、重要產品(第II類) 及 關鍵產品 則須由公告機構進行第三方評估。
CRA - 網路韌性法
EU 法規 2024/2847,為在歐盟銷售的含數位元素之產品(PDE)建立強制性網路安全要求。於2024年12月10日生效,主要義務自2027年12月11日起適用。涵蓋具備網路連線能力的硬體及軟體產品。
關鍵產品 - CRA 附件IV
為其他產品、網路或服務執行基本網路安全功能的含數位元素之產品。列於 CRA 附件IV,包括 HSM、智慧卡讀取器、安全元件及具備安全箱的硬體裝置。關鍵產品須取得適用方案下的歐洲網路安全認證,或在無適用方案時,由公告機構進行第三方符合性評估。
CSAF - 通用安全公告框架
OASIS 機器可讀安全公告標準,可自動處理漏洞揭露資訊。用於 CRA 要求下的協調漏洞揭露(CVD)及 ENISA 通報。
CSIRT - 電腦安全事件回應小組
指定網路安全機構,製造商依 CRA 第14條須向其通報被積極利用的漏洞及重大事件,並與 ENISA 協調 EU 層級的漏洞回應。
CVD - 協調漏洞揭露
在公開公告前負責任地向廠商揭露安全漏洞的程序。CRA 第13條(8)要求製造商建立並發布 CVD 政策,包括安全聯絡資訊。
CVE - 通用漏洞揭露
公開已知網路安全漏洞的標準化識別符(例如 CVE-2024-12345)。由 MITRE Corporation 管理,全球用於漏洞追蹤、揭露及修復協調。
CVSS - 通用漏洞評分系統
以0至10分評估漏洞嚴重性的行業標準。CVSS 4.0 為最新版本,提供基礎、時間及環境三類指標。關鍵(9.0-10.0)、高(7.0-8.9)、中(4.0-6.9)、低(0.1-3.9)。
CycloneDX
OWASP 建立軟體物料清單(SBOM)及相關成品的標準,支援 SBOM、VEX、HBOM、SaaSBOM 等格式。建議使用1.5或以上版本。BSI TR-03183 將其列為 CRA 合規的優選格式。
預設產品類別
依 CRA 附件III及IV定義,未歸類為重要或關鍵的含數位元素之產品。預設產品可依 CRA 附件VIII由製造商進行內部控制(自我評估),無需第三方參與。此類別涵蓋絕大多數消費性及商業軟硬體產品。
經銷商
供應鏈中除製造商或進口商以外,在 EU 市場提供含數位元素之產品的任何實體。經銷商在提供產品前須確認產品標示 CE 標章並附有EU適合性宣言。若經銷商修改產品,則依 CRA 視為製造商。
ENISA - 歐盟網路安全局
負責網路安全政策與事件協調的 EU 機構。依據 CRA,製造商須於24小時內向 ENISA 通報被積極利用的漏洞,嚴重事件須於72小時內通報。通報義務自2026年9月11日起生效。
EPSS - 漏洞利用預測評分系統
FIRST.org 模型,估算漏洞在未來30天內於實際環境中被利用的機率(0-100%)。與 CVSS 配合用於風險導向的漏洞優先排序。EPSS 越高 = 修復優先級越高。
EU適合性宣言
正式文件,聲明產品符合包括 CRA 在內的相關 EU 法規。須由製造商或授權代表簽署,CE 標章所須具備,且須引用適用的諧調標準。
歐盟機械法規 - 法規 (EU) 2023/1230
取代機械指令 2006/42/EC 的歐盟法規,自 2027 年 1 月 20 日起適用。要求對含有數位元件的機械在技術文件中提供網路安全證據(附錄 III §1.1.9 — 防止損毀)。含有數位元件的產品必須同時符合本法規與 CRA。
諧調標準
由認可標準化機構(CEN、CENELEC、ETSI)採用並在 EU 官方公報中引用的歐洲標準。符合諧調標準的產品可推定符合相應的 CRA 基本要求,從而簡化符合性評估。
HBOM - 硬體物料清單
產品中硬體元件的機器可讀清單,包括處理器、記憶體、積體電路及韌體。補充 SBOM 以實現完整產品透明度。CycloneDX 支援 HBOM 格式。
重要產品(第I類) - CRA 附件III,第I部分
執行網路安全相關功能或具有較高風險的含數位元素之產品。第I類包括身分管理系統、VPN、網路管理工具、SIEM 系統、開機管理程式及 CRA 附件III第I部分所列其他類別。製造商須適用涵蓋所有基本要求的諧調標準(可自我評估),或由公告機構進行第三方符合性評估。
重要產品(第II類) - CRA 附件III,第II部分
執行關鍵網路安全功能且具有重大風險的含數位元素之產品。第II類包括作業系統、虛擬機器監控程式、防火牆、入侵偵測系統、微控制器、工業自動化系統及 CRA 附件III第II部分所列其他類別。無論是否存在諧調標準,此類產品均須由公告機構進行第三方符合性評估。
進口商
在歐洲市場投放 EU 以外製造商含數位元素之產品的 EU 實體。進口商須確認製造商已完成符合性評估、已貼附 CE 標章且技術文件齊備。進口商與製造商共同承擔不合規產品的責任。
KEV - 已知被利用漏洞
CISA 收錄在實際環境中被積極利用漏洞的權威目錄,代表已確認的現實威脅,具有最高修復優先級。聯邦機構須在規定時限內修復 KEV 漏洞。
製造商
開發或生產含數位元素之產品並以自身名稱或商標在 EU 市場投放的實體。製造商承擔主要 CRA 義務:進行風險評估、維護 SBOM、處理漏洞、提供至少五年的安全更新,以及向 ENISA 通報被利用的漏洞。
公告機構
由 EU 成員國指定的獨立符合性評估機構,負責評估產品是否符合法規要求。依 CRA 附件III及IV,重要產品(第I類)、重要產品(第II類) 及 關鍵產品 的第三方符合性評估須由公告機構進行。
NVD - 國家漏洞資料庫
由 NIST 維護的美國政府漏洞資料儲存庫,以 CVE 識別符為基礎,提供 CVSS 評分、CPE(受影響產品)資訊、CWE 分類及修復指引。
OSV.dev - 開源漏洞資料庫
由 Google 維護的開源漏洞資料庫,將 GitHub(GHSA)、Go、Rust、PyPI 及15個以上生態系統的安全公告彙整為單一可查詢 API。CRA Evidence 使用 OSV.dev 作為輔助漏洞來源,與 NVD 配合,以捕獲生態系統特定資料庫在取得 CVE ID 前已追蹤的公告。
PDE - 含數位元素之產品
任何與其他裝置或網路有連接(直接或間接)的軟體或硬體產品。CRA 法規的核心適用範圍,包括 IoT 裝置、工業設備、消費性電子產品及獨立軟體。
prEN 50742
歐洲機械安全標準草案,涵蓋防止損毀的要求。為實施機械法規 (EU) 2023/1230 §1.1.9 提供技術規範。定義兩種合規路徑:獨立方法,以及針對已在該工業網路安全框架內運作的製造商與 IEC 62443 的整合。一旦公布為協調標準,符合性將對機械法規的網路安全要求產生符合性推定。預計於 2026 年底發布。
PURL - 套件 URL
跨生態系統識別軟體套件的標準化格式(例如 pkg:npm/lodash@4.17.21)。用於 SBOM 中唯一識別元件,可實現自動化漏洞比對及授權合規。
RDPS - 遠端資料處理方案
作為含數位元素之產品一部分,遠端處理資料的雲端或 SaaS 功能。若符合三重測試則屬於產品 CRA 符合性評估範圍:資料「在遠端」處理、缺少該功能產品將失去核心功能,以及由製造商設計或在其責任下設計。不符合此測試的第三方 SaaS 仍須依第13條(5)盡職調查視為元件處理。
風險評估
識別、分析及評估含數位元素之產品網路安全風險的系統化程序。CRA 第13條(2)有此要求,須記錄於技術文件中。涵蓋整個產品生命週期的威脅、漏洞、潛在影響及風險緩解措施。
SBOM - 軟體物料清單
軟體元件及相依性的正式機器可讀清單,包含版本、授權及關聯性。CRA 第13條(4)要求用於漏洞管理及供應鏈透明度,可採用 CycloneDX 或 SPDX 格式。
SPDX - 軟體套件資料交換
ISO/IEC 5962:2021 軟體物料清單資訊交換標準,由 Linux Foundation 開發,廣泛用於授權合規及漏洞追蹤。建議使用2.2.1或以上版本以符合 CRA 合規要求。
技術文件
展示 CRA 合規的完整文件套件,包括風險評估、SBOM、安全設計文件、漏洞處理程序、測試結果及EU適合性宣言。須保留10年或產品使用年限(以較長者為準)。
TR-03183
德國 BSI(聯邦資訊安全辦公室)技術指南,提供 SBOM 建立與管理的詳細要求,廣泛作為 CRA 第13條合規最佳實踐的參考依據,規定 SBOM 最低欄位、格式及更新要求。
VEX - 漏洞可利用性交換
傳達特定產品中漏洞可利用狀態的文件,說明某 CVE 是否影響你的產品(受影響、不受影響、已修復、調查中)。有助於下游使用者減少誤報造成的警示疲勞。
VKB - 漏洞知識庫
持續更新的漏洞資料庫,將 NVD/cvelistV5、OSV.dev、GitHub Advisories、CISA KEV 及 EPSS 等多個來源的公告彙整為單一可查詢知識庫。VKB 不同於依需求對單一來源掃描相依性,而是維護所有已知漏洞的本地鏡像,並在新 CVE 發布時與軟體元件進行比對。這將偵測延遲從數小時或數天縮短至數分鐘,同時交叉比對多個來源可降低遺漏公告的風險。