EU CRA 網路韌性法合規輔導

EU CRA 於 2024 年 12 月正式施行，但有分階段過渡期：通報機構義務（21 個月後，2026 年 9 月）、漏洞通報義務（21 個月後）、全面強制執行（36 個月後，2027 年 12 月）。台灣出口商應立即開始評估產品適用性，避免 2027 年 12 月後被禁止進入歐盟市場。

SBOM（Software Bill of Materials，軟體物料清單）是列出軟體所有組成元件（開源程式庫、第三方元件、自行開發程式碼）的清單。CRA 要求 SBOM 是因為許多軟體漏洞來自開源元件（如 Log4j），SBOM 讓廠商能快速識別受影響的產品並及時修補。

CRA Annex III 列出的 Class I 重要 PDE 包含：身份管理軟體、瀏覽器、密碼管理器、VPN、網路監控工具、作業系統、路由器、防火牆、工業 IoT 設備等。Class II 包含：HSM（硬體安全模組）、智慧卡、工業自動化控制系統等。不在 Annex III 的產品屬於一般 PDE，可自我評估。

台灣出口商有三條路徑：一、歐盟代理人（在歐盟境內指定代理人負責 CRA 合規義務）；二、符合歐洲調和標準（採用 ETSI EN 18031 等調和標準，推定符合 CRA 要求）；三、第三方認證（Class II 強制，由 EU 認可的通報機構進行認證）。

CRA 違規最高罰款為全球年營收的 2.5% 或 1500 萬歐元（取較高者）。更嚴重的後果是產品被禁止在歐盟市場銷售，對依賴歐洲市場的台灣出口商而言，損失遠超罰款金額。

對工業自動化控制系統廠商，IEC 62443 是最直接對應 CRA Annex I 安全要求的標準。取得 IEC 62443 認證可作為 CRA 符合性的重要依據，大幅簡化 CRA 合規流程。積穗科研提供 CRA 加 IEC 62443 整合輔導。

積穗科研是台灣少數具備 EU CRA、EU AI Act、IEC 62443 整合輔導能力的顧問機構，協助台灣出口商以歐盟四法整合（CRA + EU AI Act + IEC 62443 + ISO 26262）的最有效路徑進入歐洲市場。

否，OS 層以上的軟體只要具備網路連接性，就適用 CRA。CRA 的觸發條件是「網路連接性」而非「硬體界接」。歐盟官方 FAQ 明確將行動 App 與電腦遊戲列為預設級 PDE 的適用示例，兩者均為純 OS 層以上軟體。桌面應用程式（有網路連接）、行動 App、瀏覽器擴充套件均適用 CRA。唯一豁免的是純 SaaS（軟體邏輯完全在雲端，裝置端無任何可下載元件）。

是的。純 SaaS 依 CRA Article 2(5)(h) 豁免，但豁免條件是「裝置端無任何可下載元件」。若 SaaS 附帶可下載的行動 App、桌面客戶端（.exe/.dmg）或瀏覽器擴充套件，該裝置端元件即觸發 CRA 預設級或 Class I/II 要求。SaaS 本體（雲端部分）豁免，但裝置端元件必須合規。積穗科研協助釐清哪些元件需要合規，規劃最小必要範疇的合規路徑。