Winners Consulting Services
繁中/EN/日本語
EU CRA 網路韌性法

EU CRA 網路韌性法合規輔導

台灣出口商進入歐盟市場的網路安全合規路徑

EU CRA(Cyber Resilience Act)自 2024 年 12 月起正式施行,要求所有含數位元素產品在進入歐盟市場前取得 CE 標誌的網路安全合規。積穗科研協助台灣出口商完成產品分類、Annex I 安全要求實作、SBOM 建立、漏洞揭露流程與 72 小時 ENISA 通報機制。

申請免費機制診斷

什麼是 EU CRA?哪些台灣產品受到影響?

EU CRA(歐盟網路韌性法)是歐盟針對所有含數位元素產品(PDE)設定強制性網路安全要求的法規。凡是在歐盟市場銷售且具有直接或間接網路連接能力的產品,都屬於 CRA 規範範疇。台灣受影響的產品類型包含:IoT 設備、工業控制系統(PLC、SCADA)、網路設備(路由器、交換器)、智慧家電、軟體產品、嵌入式系統。CRA 將產品分為三類:一般 PDE(自我評估)、重要 PDE Class I(第三方審查)、重要 PDE Class II(強制第三方認證)。

積穗科研輔導成功案例

案例 01
IoT 設備出口商

完成 CRA 產品分類評估,確認屬於 Class I 重要 PDE,建立 SBOM、漏洞揭露流程、72 小時 ENISA 通報機制,取得 CE 標誌網路安全合規

案例 02
工業自動化設備廠

完成 Annex I 安全要求差距分析,整合 IEC 62443 工業資安標準,建立產品安全更新機制(最低 5 年支援),滿足 CRA Class II 強制第三方認證要求

積穗科研輔導流程

01

CRA 產品分類與適用性評估

依 CRA Annex III/IV 規定,評估台灣出口產品是否屬於受規範的含數位元素產品,確定產品類別(一般 PDE / Class I / Class II),確認適用的合規路徑。

02

Annex I 安全要求差距分析

對照 CRA Annex I 基本網路安全要求(無已知可利用漏洞、安全預設配置、存取控制、加密、資料最小化、完整性保護、恢復能力、安全更新機制)進行差距分析。

03

SBOM 建立與漏洞管理

建立符合 CRA 要求的 SBOM(軟體物料清單),建立漏洞監控與揭露流程,設計 72 小時 ENISA 通報機制,建立產品安全更新機制。

04

符合性評估與 CE 標誌

依產品類別選擇合適的符合性評估路徑,準備技術文件(Technical Documentation),取得 CE 標誌所需的符合性聲明(DoC)或第三方認證。

常見問題

EU CRA 什麼時候開始強制執行?台灣出口商有多少準備時間?

EU CRA 於 2024 年 12 月正式施行,但有分階段過渡期:通報機構義務(21 個月後,2026 年 9 月)、漏洞通報義務(21 個月後)、全面強制執行(36 個月後,2027 年 12 月)。台灣出口商應立即開始評估產品適用性,避免 2027 年 12 月後被禁止進入歐盟市場。

SBOM 是什麼?為什麼 CRA 要求建立?

SBOM(Software Bill of Materials,軟體物料清單)是列出軟體所有組成元件(開源程式庫、第三方元件、自行開發程式碼)的清單。CRA 要求 SBOM 是因為許多軟體漏洞來自開源元件(如 Log4j),SBOM 讓廠商能快速識別受影響的產品並及時修補。

什麼是 CRA Class I 和 Class II?如何判定?

CRA Annex III 列出的 Class I 重要 PDE 包含:身份管理軟體、瀏覽器、密碼管理器、VPN、網路監控工具、作業系統、路由器、防火牆、工業 IoT 設備等。Class II 包含:HSM(硬體安全模組)、智慧卡、工業自動化控制系統等。不在 Annex III 的產品屬於一般 PDE,可自我評估。

CRA 對台灣出口商的合規路徑是什麼?

台灣出口商有三條路徑:一、歐盟代理人(在歐盟境內指定代理人負責 CRA 合規義務);二、符合歐洲調和標準(採用 ETSI EN 18031 等調和標準,推定符合 CRA 要求);三、第三方認證(Class II 強制,由 EU 認可的通報機構進行認證)。

CRA 違規的後果是什麼?

CRA 違規最高罰款為全球年營收的 2.5% 或 1500 萬歐元(取較高者)。更嚴重的後果是產品被禁止在歐盟市場銷售,對依賴歐洲市場的台灣出口商而言,損失遠超罰款金額。

CRA 和 IEC 62443 有什麼關係?

對工業自動化控制系統廠商,IEC 62443 是最直接對應 CRA Annex I 安全要求的標準。取得 IEC 62443 認證可作為 CRA 符合性的重要依據,大幅簡化 CRA 合規流程。積穗科研提供 CRA 加 IEC 62443 整合輔導。

積穗科研的 CRA 輔導有什麼特色?

積穗科研是台灣少數具備 EU CRA、EU AI Act、IEC 62443 整合輔導能力的顧問機構,協助台灣出口商以歐盟四法整合(CRA 加 EU AI Act 加 IEC 62443 加 ISO 26262)的最有效路徑進入歐洲市場。

申請免費機制診斷

積穗科研提供第一次免費診斷評估,依您企業現況規劃最適合的輔導路徑

立即申請免費機制診斷
← 回到歐盟法遵整合服務