對應國際標準
適用對象
- ✓連網產品製造商(IoT 設備、智慧家電、工業感測器)需進入歐盟市場者
- ✓工業控制系統(ICS/SCADA/OT)廠商,需符合 IEC 62443 的關鍵基礎設施供應商
- ✓台灣電子製造業(EMS/ODM/OEM),為歐系品牌代工連網產品者
- ✓已取得 TISAX 或 ISO 21434 的車用供應商,需延伸到更廣泛的工控資安框架
四步驟認證路徑
差距評估與風險分析
對照 EU CRA 要求與 IEC 62443 框架,識別產品設計與組織流程的資安缺口,評估合規範疇與目標等級(SL 1-4)。
安全需求設計與文件化
依 IEC 62443 建立產品安全需求規格(SR)、設計資安架構、完成技術文件(Technical Documentation)與 DoC 聲明。
實作驗證與滲透測試
執行資安功能驗證、漏洞掃描與滲透測試,確認產品符合 CRA 的基本要求(Essential Requirements)。
CE 標誌申請與持續監控
協助選擇公告機構(Notified Body),完成符合性評估程序,取得 CE 標誌,並建立上市後漏洞管理與安全更新機制。
常見問題
EU CRA 是什麼?什麼時候強制實施?▼
EU Cyber Resilience Act(歐盟網宇韌性法)是歐盟針對所有具有數位元素產品(連網設備)的強制性資安法規,2024 年 12 月正式生效,給予 36 個月過渡期,2027 年 9 月起所有在歐盟市場銷售的連網產品必須符合 CRA 要求並貼附 CE 標誌,否則無法在歐盟市場銷售。
IEC 62443 和 EU CRA 有什麼關係?▼
IEC 62443 是工業自動化與控制系統(IACS)的國際資安標準,EU CRA 將 IEC 62443 列為符合基本要求的主要協調標準(Harmonised Standard)。符合 IEC 62443 相關部分,可假定符合 CRA 的對應基本要求,大幅降低符合性評估的複雜度與成本。
哪些產品需要符合 EU CRA?▼
EU CRA 適用於所有具有數位元素的產品,分為三類:一般產品(自我評估)、重要產品 Class I(第三方審查,如作業系統、路由器、工業控制器)、重要產品 Class II(嚴格第三方認證,如工業防火牆、HSM、智慧電表)。台灣出口到歐盟的連網設備、IoT 產品、工控系統元件,幾乎全部在適用範圍內。
違反 EU CRA 的罰款是多少?▼
違反 CRA 基本要求:最高 1,500 萬歐元或全球年營業額 2.5%(取較高者)。違反其他義務(如通報、文件):最高 1,000 萬歐元或 2%。提供不實資訊:最高 500 萬歐元或 1%。台灣製造商若無法在 2027 年 9 月前取得符合 CRA 的 CE 標誌,將無法在歐盟市場銷售相關產品。
IEC 62443 和 TISAX / ISO 21434 有什麼差別?▼
TISAX 和 ISO 21434 針對車用供應鏈資安;IEC 62443 針對更廣泛的工業自動化與控制系統(IACS),包含製造業、能源、水處理、智慧建築等關鍵基礎設施。EU CRA 則涵蓋所有連網消費性與工業產品。積穗科研可整合三個框架,避免重複建置,發揮跨框架綜效。
申請免費機制診斷
了解您的產品距離 EU CRA 合規還有多遠
申請免費機制診斷