歐洲委員會已準備一份《Communication（通訊文件）》，提供有關《Cyber Resilience Act（CRA）》適用的實務指引。該指引將協助製造商、開發者及其他利害關係人理解其義務，並確保在歐盟範圍內一致落實，特別著重於協助微型、小型與中型企業降低合規負擔。

作為更廣泛簡化計畫的一部分，委員會正就草案指引諮詢利害關係人，以確保與實施進度、實務挑戰及市場現實相符。利害關係人可於四週諮詢期間內（截至 3 月 31 日布魯塞爾時間午夜）使用附帶範本提交意見。所有回饋將用於完善本倡議，並依回饋規則於本網站公開。

《Cyber Resilience Act》於 2024 年 12 月 10 日生效。該法案所引入的主要義務將自 2027 年 12 月 11 日起適用，而通報義務將自今年 9 月 11 日起適用。歐盟委員會正積極推動強化歐盟資安韌性與能力，今年 1 月已提出一項新的資安套案。

CRA《第 26 條》規定委員會應發布指引，協助經濟營運者適用 CRA，特別著重於促進微型企業及中小企業的合規。因此，向經濟營運者提供及時指引以協助其準備合規工作極為重要。

該草案指引旨在協助經濟營運者遵循 CRA，並支援市場監管機構、通報機關與公告機構在整個歐盟範圍內確保一致執法。該指引並未涵蓋法案全部範圍，而是釐清關鍵條文的立法理由及其實務適用方式，指引僅適用於 CRA，不涉及其他歐盟法規。

包括「具數位元素產品資安專家小組」在內的利害關係人已透過專家諮詢與公開徵詢程序參與草案準備。該文件不具法律約束力；僅歐洲聯盟法院（CJEU）可對法案提供權威解釋。然而，該指引反映歐盟委員會的解釋立場，以支持合規與有效實施，同時承認實際評估需依個案判斷。

依《第 26 條》，歐盟委員會可發布進一步指引，包括針對受 CRA 及相關歐盟法規約束的製造商之資料。未來指引亦可能說明 CRA 與其他法規架構的互動，例如《Artificial Intelligence Act (EU) 2024/1689》及《Digital Operational Resilience Act (EU) 2022/2554》。

指引指出，CRA 所涵蓋的產品不僅包括單一裝置或軟體元件，也包括由多個硬體與軟體元素組成、共同執行特定功能的複雜系統。當此類系統以單一產品形式投放市場時，將視為法案下之產品。這些複雜系統通常具有長期設計與開發週期、於法規生效前即已簽署之合約、延長使用壽命，以及高度技術與組織複雜性。

許多系統依賴於法規適用前已上市之元件、既有系統架構或廣泛採用的互通標準（包括其他歐盟法規或產業框架所引用者）。因此，若修改特定技術特性可能影響系統預期用途、安全性、可靠性或既有基礎設施互通性，則可能屬困難或不成比例之行為。

這些因素並不排除複雜系統適用 CRA。相反地，這體現法案的風險導向方法，使合規得依產品特性與限制條件以不同方式證明。這些特性構成產品預期用途與操作情境的一部分，並在評估基本資安要求合規性時予以考量。

序言第 55 段亦承認，部分要求可能無法完全符合某些產品特性，例如當合規可能破壞強制互通要求或影響系統正常運作時。

製造商必須依風險評估結果處理資安風險。在某些情況下，特定基本資安要求可能不適用，或無法以「最先進（state of the art）」安全措施實施，因為產品預期用途包括需與既有依賴關係互動或符合互通要求。在此情況下，製造商應識別並記錄限制條件，評估相關風險，並採取適當替代或補償性風險緩解措施以維持產品安全。

《第 31 條》之技術文件及《附件 II》之使用者資訊與說明文件，在清楚說明限制條件、相關資安風險及採取之緩解措施方面具有重要作用。製造商亦須於支援期間內持續更新風險評估。若限制條件可隨時間減少或移除，產品應相應更新，使其逐步接近「最先進」資安標準。

指引說明，在法規生效前設計之產品，仍可無需重新設計即投放市場。製造商須依《第 13(2) 條》進行資安風險評估，以判定產品是否符合基本資安要求。

若評估顯示產品已具備有效安全措施並可處理相關風險，則既有措施可作為合規證明。法規並未要求在現有保護足夠情況下新增安全功能或重新設計產品。然而，製造商仍須於產品投放市場前履行所有法規義務，包括完成適當符合性評估、準備歐盟符合性聲明及加貼 CE 標誌。

對於法規適用前設計之產品，製造商仍須完成並記錄資安風險評估，證明已採取足夠措施以降低風險、防止事故及限制潛在影響（包括影響使用者安全者）。因此，只要製造商透過風險評估與技術文件證明產品達到適當資安水準並符合基本要求，即可依規上市。

符合性評估義務仍然適用，製造商須證明符合適用之資安要求並將證據納入技術文件。若產品於法規生效前設計且已包含有效安全措施，製造商無須提供原始設計與開發階段之測試結果。

如需測試，可按產品系列進行整合測試，而無須為每個變體重複測試。製造商仍須符合漏洞處理要求、持續更新資安風險評估並履行其他義務，包括提供使用者適當資訊與說明。依 CRA，《第 13(8) 條》要求製造商定義支援期間，在該期間內有效管理產品漏洞（包括元件漏洞）。

法規建立五年最低支援期間，除非產品預期使用時間較短。五年為保障機制，而非所有產品之標準。若產品預期使用時間更長，支援期間應相應延長。製造商須於購買時明確告知支援終止日期（至少標明月份與年份）。如技術可行，支援期屆滿時亦須通知使用者。

對於軟體產品，每個上市版本皆須有其獨立支援期間，並符合五年最低要求（除非可證明使用時間較短）。《第 13(10) 條》允許製造商將漏洞修補限於最新版本，前提為舊版本使用者可免費升級至最新版本且無需額外硬體或系統變更成本。

正常更新所需之操作（如測試、設定調整或例行維護）不視為額外成本；但購買新硬體或更換基礎設施則屬額外成本。製造商仍須履行漏洞管理義務，包括維持協調漏洞揭露政策及促進安全資訊分享。

製造商須進行資安風險評估並實施符合基本資安要求之措施，合規標準基於產品預期用途與合理可預見用途，而非製造商內部風險容忍度或成本考量。即便存在剩餘風險，僅在風險已充分處理時方可上市。若風險無法充分緩解，製造商可能需修改產品設計、功能或預期用途。

產品安全責任不得轉嫁使用者。製造商亦須確保產品設計與開發達到適當資安水準，包括管理外部環境風險及第三方元件之盡職審查。如製造商發現產品存在被積極利用之漏洞或重大安全事故，須通知指定 CSIRT 協調員及歐盟網路安全局（ENISA）。

當製造商在初步評估後合理確定漏洞正被利用或發生重大事故時，即構成「知悉」。此外，歐盟委員會上月發布《ICT Supply Chain Security Toolbox》，提供協調性歐盟框架以識別、評估及緩解 ICT 供應鏈風險。該工具箱定義關鍵風險情境並建議緩解措施，包括審查關鍵供應商、採用多供應商策略及降低對高風險供應商依賴。其目標在於為會員國提供強化供應鏈安全的實務架構。

資料來源：https://industrialcyber.co/threats-attacks/european-commission-opens-consultation-on-draft-guidance-to-help-manufacturers-and-developers-comply-with-cra/