CRA 合規的 4 階段與交付內容
列出每一階段會做什麼、會交付什麼,可直接作為客戶內部審查資料。
評估|把現況與 CRA 要求之間的差距可視化
盤點既有產品、開發流程、既有認證,對照 CRA 附件 I,交付依優先順序排序的書面差距分析。
- CRA 範圍筆記:依產品線記錄 CRA 第 13 條義務適用範圍與附件 III 分類(一般產品、重要產品 Class I 與 II)
- 差距分析:針對附件 I(基本網路安全要求)與現況的落差,附上研發團隊可執行的改善計畫
- 既有認證對照:盤點 BSMI、IEC 62443-4-1/4-2、ISO/IEC 27001、TAICS/MAS IoT 標章、SEMI E187/E188(如適用)可覆蓋的項目,避免重複工作
- 產品分類判定:判定產品是否落入附件 III 或附件 IV,並提出適合性評估路徑(產品分類指南)
工作流整合|把 CRA 要求內建到開發流程
CRA 不只是文件活動,而是營運流程。把要求整合進既有 CI/CD 管線,並以 BSI TR-03183 作為 SBOM 實作基準;若產品屬於半導體設備,SEMI E187/E188 的 SDL 要求已與附件 I 第二部分高度重疊,可直接拿來作為起點。
- SBOM 生成:建置時自動產出(CycloneDX 或 SPDX 格式),整合 CI/CD(GitHub Actions、GitLab CI、Jenkins 等)
- 漏洞掃描:對 NVD、GHSA、ENISA EUVD 進行相依性持續掃描
- 管線閘門:在 CI 中安裝 SAST、相依性稽核、容器掃描閘門
- 漏洞分級流程:以 SBOM 為基礎的時程定義型應變程序文件
- 協調漏洞揭露政策:制定 CVD 政策並布署公開聯絡管道(security.txt、RFC 9116)
技術文件|歐盟買主與市場監督機關所要求的書件
依 CRA 附件 VII 提供完整技術文件一式,並依 EU 市場要求進行翻譯。我們不是法律事務所,不提供法律意見與法規解釋。
持續營運支援|陪伴產品生命週期(至少 5 年)
CRA 不是一次性稽核,而是產品生命週期內(至少 5 年)的持續義務。
- CVE 監控:對已出貨產品所含元件持續監控新公告的 CVE
- 第 14 條通報運作:被積極利用的漏洞與重大事件 ENISA 通報(24 小時、72 小時、14 天)運作支援與範本,並與 TWCERT/CC 協調漏洞揭露政策 並行整理
- 年度再檢視:因應附件 I 要求變化進行定期再檢視
- 新產品支援:新產品上市時重新盤點範圍與新增文件
- 市場監督機關往來:歐盟會員國市場監督機關的問詢與要求協助應對
台灣手上的認證如何折抵 CRA:哪些可再用,哪些是新工作
以既有認證為起點盤點落差,是避開重工的最直接做法。以下九張卡片對照九類台灣廠商常見的合規資產。
商品檢驗合格證明。部分電性與安規測試資料可作為附件 VII 技術文件的附件。產品層級 CRA 要求(SBOM、漏洞通報、EU 符合性聲明、CE 標章、5 年安全更新)仍須獨立補齊。
安全開發生命週期。CRA 對照中最直接的一項。若已取得,可再利用大部分 SDL 工作,覆蓋率約 60-70%。機器可讀 SBOM、附件 VII 格式、ENISA 通報 SOP 仍需補足。
對應附件 I 第一部分的加密、存取控制、安全更新機制等元件層級要求,Moxa、研華、凌華等工控廠常見。仍須補足 EU 符合性聲明、CE 標章、Class II 產品的公告機構評估。
組織資訊安全管理系統。提供組織層級治理基礎但不涵蓋產品層級 CRA 要求,可作為組織側對應的起點。
台灣 TAICS 驗證服務 與 MAS IoT 資安標章(Level 1/2/3)已涵蓋 CRA 附件 I 部分元件層要求(預設密碼、加密通訊、更新機制),可作為起點,但不等於附件 I 的完整對應。
由 TSMC 與工研院主導制訂的 SEMI E187/E188,在 SDL、日誌、網路隔離、惡意軟體防護上與附件 I 第二部分高度重疊。Fab 設備廠可直接把 E187/E188 合格證據套進 CRA 技術文件章節。
德國聯邦資訊安全辦公室(BSI)的技術指引 TR-03183 是 CRA SBOM 要求的實務細節來源。用於選定 CycloneDX 或 SPDX、最低屬性集、生成時機設計。
既有的協調漏洞揭露流程可作為設計 ENISA 通報 SOP 的基礎。建議單一事件、雙軌輸出:同一份事件資料同時產出 TWCERT/CC 與 ENISA SRP 通報,跨部會協調可延伸至 數位發展部資通安全署。
ENISA 主管的 EU 網路安全認證方案。在 CRA 調和標準尚未發布前,Class I 產品可透過 EUCC 證明符合附件 I 要求,屬選擇性路徑而非強制。
不承接的工作
為讓客戶的發包判斷明確,以下先列出我們不做的項目。若有這些需求,請另行委託專業機構。
公告機構(Notified Body)的工作
不執行 CRA 第 32 條的適合性評估(第三方評估)。若產品屬於需要公告機構評估的類別(例如重要產品 Class II),我們可協助比較 AENOR、Applus 等西班牙在地的 EU 公告機構並協助遴選;實際評估與發證由該機構執行。
法律事務所的工作
不提供法律意見、法規解釋、合約審閱、訴訟應對。法務事宜應委託客戶內部法務或外部律師。我們的角色是把技術內容整理成法務團隊可直接判斷的形式,並可協助整理選任律師事務所時需要釐清的議題。
EU 授權代表(Authorised Representative)
我們不擔任 CRA 第 18 條所定的 EU 授權代表(歐盟境外製造商必須指定、登記於歐盟境內的代表人)。服務範圍內僅包含遴選協助,即候選比較與合約條款審閱。
從洽詢到專案啟動的路徑
列出從初次洽詢到簽約啟動的全程,以及客戶側需要配合的作業。
洽詢
透過網站預約 45 分鐘免費諮詢。初次對話無須先簽 NDA。
客戶:提供對象產品、既有認證狀態、內部討論進度
45 分鐘諮詢
電話或視訊會議上確認產品的 CRA 分類、主要差距、預估範圍。
我們:會議後 48 小時內以書面提出差距摘要與範圍、報價草案
內部審查
提案以可列印、PDF、可內部分享的形式交付;可支援客戶請購流程的補充提問。
客戶:關係人達成共識、整理補充問題
專案啟動
簽約後啟動四階段服務。首份產出物(差距分析)於 2-4 週內交付。
客戶:指派研發窗口與聯絡窗口、提供現行資料
依個案報價,不公開價目表
為什麼不公開數字
CRA 顧問案的形態取決於客戶在 CRA 下的角色(製造商、進口商、經銷商)、對象產品的技術複雜度、產品線數量、現有準備狀況。單一嵌入式產品與擁有多款 SKU 的中大型製造商屬於完全不同性質的委任。
具體金額會在 45 分鐘免費諮詢後個別確認。諮詢結束後 48 小時內,以書面形式提供含範圍、產出物、時程、價格的正式提案。
和我們合作的方式:五個最常問的問題
法規本身的 Q&A 整理於 台灣製造商 FAQ。本節只處理「怎麼和我們一起工作」。
保密協議(NDA)在哪個階段簽
45 分鐘免費諮詢之前不簽,僅討論一般性差距與範圍。進入具體產品資料(設計文件、程式碼、測試報告)檢視階段再簽,可採雙方任一標準格式,協議內容由雙方合意選定。
可以同時與既有律師事務所或顧問公司並行嗎
可以。我們負責技術與文件領域,和律師事務所的法規解釋與合約建議自然互補。與一般 IT 顧問公司並行時,為避免產出物重複,僅在作業分工明確的前提下進行。
可以全程使用繁體中文嗎?時差怎麼處理
對應語言為繁體中文、英文、西班牙文。台灣時間上午(西班牙深夜)的會議不可行;台灣時間下午 3 點後(西班牙上午 9 點後)是固定會議的合適時段。非同步的文件審閱不受時差影響。
從簽約到首份差距分析要多久
一般為 2-4 週。依產品線數量、既有資料整備度、可安排的內部訪談時間而變動。諮詢階段的書面提案會載明實際日程與里程碑。
合約結束後還能接續營運階段的支援嗎
可以。Phase 04 持續營運支援以年度委任(retainer)另行簽約,涵蓋 CVE 監控、ENISA 通報運作的備援、新產品上市的範圍再盤點。Phase 01-03 同時或後續皆可簽訂。
關於 CRA Evidence
2026 年成立的 CRA 專業顧問公司
Senda Tech Solutions S.L. 登記於西班牙奧維耶多,是位於歐盟本地的獨立顧問公司,專注歐盟網路韌性法合規。不兼做一般性顧問;以在地法規環境為基礎,以實際案例處理歐盟境外製造商的實務議題。
- 法人名稱
- Senda Tech Solutions S.L.
- 登記地
- Oviedo, Asturias, Spain(歐盟境內)
- 設立年
- 2026 年
- 專業領域
- 歐盟網路韌性法(CRA、EU 規則 2024/2847)合規
- 進行方式
- 遠距(視訊會議、電子郵件、共享文件)
- 服務語言
- 繁體中文、英文、西班牙文