EU Cyber Resilience Act

EU CRA 將產品分三類：(1) 一般產品（Default）：自我評估即可，適用大多數連網消費性產品；(2) 重要產品 Class I：需第三方審查，包含路由器、作業系統、工業控制器、密碼管理器、智慧型家電等；(3) 重要產品 Class II：最嚴格第三方認證，包含工業防火牆、硬體安全模組（HSM）、智慧電表、車載電腦等高風險設備。台灣廠商出口前須先確認產品分類，Class II 認證時間最長可達 12-18 個月。

EU CRA 關鍵時程：2024年12月正式生效（Official Journal 公布）；2026年9月：製造商須建立漏洞通報機制（ENISA 通報義務生效）；2027年6月：通知機構（Notified Body）認定完成；2027年9月：全面強制實施，所有進入歐盟市場的連網產品須符合 CRA 並貼附 CE 標誌。台灣廠商建議在 2025 年底前啟動差距評估，2026 年完成設計改善，2027 年上半年完成認證，保留緩衝時間。

EU CRA 指定的主要協調標準（Harmonised Standards）對應：IEC 62443（工業控制系統資安，適用 OT/ICS 環境）可涵蓋 CRA 基本要求第 1-13 條；ETSI EN 303 645（消費性 IoT 設備資安基準）涵蓋一般消費性產品；EN IEC 62443-4-2 涵蓋元件層級技術要求。已持有 TISAX 或 ISO 21434 的車用廠商，其資安流程可部分複用，建議與積穗科研進行跨框架整合評估，避免重複建置節省 30-50% 認證成本。

以下台灣企業屬高優先合規對象：(1) 電子製造業（EMS/ODM/OEM）：為歐系品牌代工連網產品、IoT 設備、智慧家電者；(2) 工控設備廠商：生產 PLC、SCADA、HMI、工業感測器並出口歐盟者；(3) 車用電子供應商：已進入歐系車廠供應鏈，需將 TISAX/ISO 21434 延伸至 IEC 62443 框架；(4) 網路設備廠商：路由器、交換器、工業網關製造商屬 Class I 產品，需第三方審查。

EU CRA 要求製造商建立上市後漏洞管理機制：(1) 發現積極利用中的漏洞（Actively Exploited Vulnerability）須於 24 小時內通報 ENISA 及所在地主管機關；(2) 重大資安事件須於 72 小時內通報；(3) 須建立安全更新機制，確保產品在合理使用壽命內（至少5年）可持續接收安全更新；(4) 產品下市後仍須維持漏洞通報管道至少10年。此義務自 2026 年 9 月起生效，先於產品完整合規要求（2027年9月）。

EU CRA 與個資保護高度相關：處理個人資料的連網設備（智慧家電、穿戴裝置、家庭監控系統、健康設備等）同時受 EU CRA 和 GDPR 規範。CRA 要求設計時內建資料最小化、預設安全配置、強制存取控制等隱私保護機制，與 GDPR「隱私設計」原則高度重疊。積穗科研可協助台灣廠商同步進行 CRA + GDPR + ISO 27701（隱私資訊管理系統）整合輔導，一套評估流程滿足三項法規要求，有效降低合規成本。