歐盟《Cyber Resilience Act》(CRA,Regulation (EU) 2024/2847)將對含數位元件之產品建立強制性網路安全要求。對於銷售至歐盟市場的製造商、進口商與配銷商而言,CRA 不只是一次性的法規符合性工作,而是涵蓋產品設計、開發、測試、漏洞處理、技術文件與上市後維護的全生命週期管理要求。
面對 2026 年起陸續適用的通報與符合性評鑑相關要求,以及 2027 年 12 月 11 日全面適用的主要義務,企業應及早啟動產品盤點、合規分類、SBOM 建立、漏洞處理流程與技術文件管理,將法規要求轉化為可持續運作的產品安全治理能力。
CRA 為什麼值得企業立即關注?
隨著物聯網設備、工業控制系統、智慧產品、雲端服務與軟體元件快速普及,產品本身的網路安全能力已不再只是企業內部風險管理議題,而是進入市場、維持客戶信任與滿足法規要求的基本條件。
歐盟 Cyber Resilience Act 是針對「含數位元件之產品」(Products with Digital Elements, PDE)所建立的水平式網路安全法規。其目的在於要求產品於設計、開發、生產與維護過程中,即納入必要的網路安全要求,並確保產品上市後在支援期內仍能持續處理漏洞、提供安全更新與履行通報義務。
對企業而言,CRA 的影響不只限於歐盟當地企業。只要產品進入歐盟市場,無論企業位於何處,都可能受到相關要求影響。這代表台灣的軟體、硬體、IoT、OT、資通訊設備與數位產品供應商,都應及早評估自身產品是否落入 CRA 適用範圍。
CRA 帶來的三個核心改變
1. 產品安全從「出貨前測試」轉向「設計即安全」
CRA 的核心精神之一,是 Security by Design。產品不應等到上市前才進行安全檢測,而應在需求、設計、開發、建置、測試、部署與維運各階段,持續納入安全要求。這意味著企業需要重新檢視現有 SDLC 或產品開發流程,包括威脅建模、安全編碼、元件管理、靜態與動態測試、漏洞掃描、簽章更新、日誌紀錄與安全事件處理等能力。
2. 漏洞處理成為產品生命週期的持續義務
CRA 不只要求產品上市時符合網路安全基準,也要求製造商在支援期內持續處理漏洞。企業需要具備識別漏洞、記錄漏洞、評估影響、提供修補、公開安全資訊、建立協調漏洞揭露政策與提供安全更新機制的能力。換言之,產品安全不再是單點式檢測,而是上市後仍需持續營運的治理機制。
3. 合規證據必須可文件化、可稽核、可追溯
CRA 要求企業建立技術文件、執行符合性評鑑、簽發 EU 符合性聲明,並依產品分類決定是否需要第三方機構介入。企業若無法提出完整的風險評估、測試紀錄、SBOM、漏洞處理紀錄、支援期說明與符合性證據,即使技術上已做了部分安全措施,也可能難以證明產品符合 CRA 要求。因此,CRA 合規的關鍵不只是「做了什麼」,更是「能否證明做了什麼」。
1. 產品分類與符合性評鑑路徑判斷
CRA 依產品風險高低,將含數位元件產品分為不同層級。不同產品分類對應不同的符合性評鑑強度,從製造商自我評鑑,到需要 Notified Body 第三方介入,甚至關鍵產品可能涉及更高強度的認證要求。許多企業第一個挑戰並不是技術實作,而是先判斷:哪些產品受到 CRA 影響?產品屬於哪一類?應採取哪一種符合性評鑑路徑?
SBOM(Software Bill of Materials,軟體物料清單)是產品供應鏈安全與漏洞管理的重要基礎。它能協助企業掌握產品使用了哪些第三方元件、版本、授權資訊與相依關係,並在新的 CVE 爆發時快速判斷產品是否受影響。然而,SBOM 並不是一次產生後就能永久使用。產品版本更新、套件升級、供應商變更與弱點揭露,都會影響 SBOM 的正確性。企業需要建立能夠隨產品生命週期持續更新的 SBOM 流程。
3. 已知漏洞與第三方元件風險管理
CRA 要求產品在上市時不應含有已知可利用漏洞,並要求製造商於支援期內持續處理漏洞。這使得第三方元件、開源套件、韌體模組與供應商元件的風險管理變得更加重要。企業需要具備 CVE 情資蒐集、SBOM 比對、CVSS 評分、EPSS 或 KEV 優先順序判斷、修補追蹤與證據保存能力,才能在漏洞爆發時快速判斷影響範圍並採取行動。
4. 24 小時、72 小時與 14 日通報流程
CRA 對已遭利用之漏洞與重大資安事件設有嚴格通報要求。企業需要事前建立事件識別、內部升級、技術判斷、法遵確認、通報文件準備與管理階層決策流程。如果企業在事件發生後才臨時組成小組,通常很難在規定時限內完成有效通報。因此,建立 PSIRT(Product Security Incident Response Team)或等效的產品安全事件回應機制,是 CRA 準備工作的核心之一。
5. 技術文件與 CE 標誌準備
CRA 合規最終會連結到技術文件、符合性評鑑、EU 符合性聲明與 CE 標誌。企業需要保存產品描述、設計開發流程、風險評估、支援期決定、適用標準、測試報告、漏洞處理證據與 SBOM 等文件。這些資料往往分散於研發、資安、品保、法務、產品管理與供應商管理單位。若沒有集中化的合規證據管理機制,後續面對稽核或市場監管要求時,容易出現資料不完整、版本不一致或責任不清的問題。
建議的 CRA 合規導入路徑
企業應先盤點所有銷售至歐盟市場,或可能經由客戶、通路、系統整合商進入歐盟市場的產品。盤點範圍不應只限於硬體,也應包含軟體、韌體、雲端連線功能、行動應用程式、管理平台與嵌入式元件。完成盤點後,應判斷各產品是否屬於含數位元件之產品,是否受到其他特定法規排除或優先規範,並初步判定產品分類與符合性評鑑路徑。
第二階段:Annex I 13+8 項要求差距分析
CRA Annex I 的必要網路安全要求可概分為兩大類:產品屬性要求,以及漏洞處理要求。產品屬性要求包括風險基礎安全設計、安全預設組態、認證與授權、機密性與完整性保護、資料最小化、攻擊面縮小、安全更新、日誌紀錄與資料移除等面向。漏洞處理要求則涵蓋漏洞識別與記錄、修補、測試、公開漏洞資訊、協調漏洞揭露政策、回報管道、安全更新機制與防止錯誤分發等項目。企業可先以紅、黃、綠燈方式快速評估每項要求的現況成熟度,找出最需要優先補強的缺口。
第三階段:導入 Secure SDLC 與 SBOM 管理
CRA 合規需要從產品開發流程中落實。企業應將安全需求、威脅建模、安全編碼、SAST、DAST、SCA、Fuzzing、SBOM 生成、簽章與建置證明等活動,逐步整合進既有 SDLC 與 CI/CD 流程。對於多產品線企業,可先選擇一個代表性產品作為 SBOM 與漏洞比對試點,再逐步擴展至其他產品線。
產品上市後的漏洞處理能力,是 CRA 合規的長期關鍵。企業應建立 PSIRT 或等效機制,明確定義漏洞接收、驗證、風險評分、修補開發、協調揭露、公告發布與事後檢討流程。同時,也應建立通報判斷標準、24 小時 on-call 機制、內部 RACI、管理階層升級條件與通報模板,以確保在發生已遭利用漏洞或重大事件時,能夠快速完成內部決策與外部通報。
CRA 合規不是只靠工程團隊完成,也需要合規文件、風險評估、測試紀錄、供應商證據、SBOM、漏洞處理紀錄與支援期說明的完整保存。建議企業建立集中式的合規證據管理平台,將 CRA 要求與 ISO/IEC 27001、IEC 62443、NIST SSDF、NIST CSF、ISO/SAE 21434 等既有標準進行對應,避免重複作業,並提升後續評鑑與稽核效率。
TASC 如何協助企業落地 CRA 合規
CRA 對企業的挑戰,並不只是理解法規文字,而是如何把要求落實到產品安全工程、漏洞治理與合規證據管理。TASC 可從制度、流程、工具與證據四個面向,協助企業建立可持續運作的 CRA 合規能力。
CIMS:支援漏洞情資、SBOM 與風險追蹤
TASC 的 CIMS(Cyber Intelligence Management System,資安智慧情資管理系統)可協助企業整合威脅情資、漏洞管理、SBOM 分析、資產管理與風險追蹤。透過 CVE 與威脅情資自動蒐集、IT/OT 資產資料庫、SBOM 生成與比對、CVE × Asset × SBOM 三向分析、自動工單指派、風險儀表板與稽核軌跡保存,企業可更快速掌握「哪些產品、哪些元件、哪些版本」受到漏洞影響。對 CRA 而言,這類能力可支援漏洞識別、修補追蹤、影響範圍判斷與通報準備,協助企業縮短事件判斷與應變時間。
U-CAMP:支援跨框架合規與技術文件管理
TASC 的 U-CAMP(Unified Compliance Assessment Management Platform,智能合規管理系統)則可協助企業進行跨框架控制措施管理、合規差距分析、佐證表單管理、作業指引維護、稽核專案管理與管理視圖監控。對於同時面對 CRA、ISO/IEC 27001、IEC 62443、NIST CSF、EU AI Act 或其他資安與管理系統要求的企業,U-CAMP 可協助建立控制措施對應矩陣與證據管理架構,降低重複合規成本,並提升符合性評鑑準備效率。
CIMS 偏重「動態風險與漏洞情資」,U-CAMP 偏重「靜態合規證據與控制措施管理」。兩者結合,可協助企業從漏洞監控、風險判斷、修補追蹤,到技術文件、差距分析與稽核證據,形成完整的 CRA 合規支援架構。
企業可於 90 天內啟動的行動清單
面對 CRA 逐步適用,企業不一定要一開始就完成所有工作,但應在短期內啟動可執行的準備項目。建議優先完成以下行動:
成立 CRA 專案小組,納入產品、研發、資安、法務、品保與管理階層。
盤點所有可能進入歐盟市場的產品、版本與數位元件。
初步判斷產品分類與符合性評鑑路徑。
依 Annex I 產品屬性與漏洞處理要求執行差距快篩。
選定一條產品線試行 SBOM 生成與漏洞比對。
建立漏洞回報、分級、修補與揭露流程。
設計 24 小時、72 小時與 14 日通報作業模板。
蒐集既有測試報告、風險評估、設計文件與供應商證據。
規劃 2026–2027 年合規預算、工具導入與第三方評鑑準備。
透過這些初始行動,企業可以先掌握自身產品風險輪廓與合規缺口,再逐步展開工程補強、流程導入與文件化工作。
CRA 是產品安全治理能力的升級
CRA 的全面適用,代表產品安全已正式成為進入歐盟市場的重要門檻。企業若仍將資安視為上市前的測試項目,將難以因應法規對生命週期管理、漏洞處理、技術文件與持續支援的要求。真正有效的 CRA 準備,不是單純建立一份合規文件,而是把法規要求轉化為組織內部可執行、可維護、可稽核的產品安全治理能力。
TASC 可協助企業從 CRA 適用性判斷、產品分類、差距分析、Secure SDLC、SBOM、PSIRT、漏洞管理,到技術文件與合規證據管理,建立面向歐盟市場的產品網路韌性基礎。若貴公司正在評估產品是否受到 CRA 影響,或希望了解如何建立 SBOM、漏洞處理與合規證據管理機制,歡迎與 TASC 聯繫,啟動 CRA 合規健檢與導入規劃。