組織 + 產品雙重合規｜CRA CE 標誌最直接路徑

IEC 62443 工控資安整合輔導

OT/ICS 組織合規 × 產品認證全系列

IEC 62443 橫跨組織制度與產品技術，共有 5 個主要子標準，不同角色適用不同組合。積穗科研一次診斷適用子標準，避免多做無用功；並依「4-1 組織能力→4-2 產品認證」的正確順序輔導，確保認證首次提交通過率最大化。

子標準數量

前置關係

4-1 → 4-2

最直接路徑

CRA 連結

SL 1-3

SL 等級

申請免費子標準適用性診斷

快速判斷：我需要哪些子標準？

我製造 OT/ICS 設備並出口

→ 4-1（先）→ 4-2（產品認證）

我整合 OT 系統給歐洲工廠

→ 2-4 + 3-3

我是工廠/電廠/關鍵基礎設施

→ 2-1 + 3-3

我提供 OT 安全服務（MSSP）

→ 2-4

我做嵌入式/IoT（OT 用途）

→ 4-1（先）→ 4-2（產品認證）

歐洲客戶要求但不知從哪開始

→ → 免費診斷確認路徑

什麼是 IEC 62443？台灣 OT 廠商為何必須重視？

IEC 62443 是工業自動化與控制系統（IACS/OT/ICS）的國際資安標準系列，涵蓋從安全管理制度到具體元件產品的完整安全要求框架。歐盟 CRA 雖未直接強制要求 IEC 62443 認證，但在工業、能源、製造等領域，IEC 62443 是 CRA 符合性評估的主流技術路徑，也是歐洲 OEM 採購合約中越來越普遍的供應商資安要求。台灣廠商面臨三重壓力：CRA 2026/09 通報義務已適用；歐洲 OEM 廠商在採購合約中要求供應商提供 62443-4-1 組織認證；NIS2 關鍵基礎設施客戶要求設備符合 62443-3-3 安全等級規格。

IEC 62443 五大子標準詳解

了解每個子標準的適用對象、內容範圍與前後關係

組織合規

IEC 62443-2-1

IACS 安全管理系統要求

適用對象

資產擁有者（工廠/電廠/水廠等）

規範內容

建立 IACS 安全管理系統（SMS），涵蓋政策、程序、風險評估、事件回應、供應商管理

前置條件

無前置要求

連結法規/市場要求

NIS2 供應商安全條款、工廠自我評估

組織合規

IEC 62443-2-4

IACS 服務供應商安全要求

適用對象

系統整合商、維護服務商、OT 顧問

規範內容

服務供應商在客戶 IACS 環境中工作時必須遵循的安全要求，涵蓋遠端存取、變更管理、事件回應

前置條件

無前置要求（獨立適用）

連結法規/市場要求

歐洲 OEM 廠商對系統整合商的合約要求

系統層（組織/產品橋接）

IEC 62443-3-3

系統安全要求與安全等級

適用對象

系統整合商、資產擁有者

規範內容

定義 IACS 系統的安全功能要求（FR 1-7）與安全等級（SL 1-4），作為採購規格或系統設計依據

前置條件

組織需具備 2-1 或 2-4 基礎

連結法規/市場要求

NIS2 關鍵基礎設施 OT 安全要求、CRA 系統評估

組織合規（產品認證前置）

IEC 62443-4-1

SDL 安全開發生命週期

適用對象

設備/元件製造商（開發組織）

規範內容

規範製造商的安全開發流程（SDL）：安全需求、安全架構、安全程式碼審查、SAST/DAST、漏洞管理

前置條件

4-2 的必要前置條件

連結法規/市場要求

CRA Security-by-Design 義務、歐洲 OEM 供應商要求

產品合規

IEC 62443-4-2

元件技術安全要求

適用對象

設備/元件製造商（針對具體產品）

規範內容

規範 OT/ICS 元件產品的七大基礎要求（FR）：識別與認證、使用控制、系統完整性、資料機密性、受限資料流、事件回應、資源可用性

前置條件

組織須先符合 4-1 SDL

連結法規/市場要求

CRA CE 標誌最直接路徑、供應鏈產品合規要求

子標準前後關係與認證路徑

2-1 安全管理資產擁有者

2-4 服務商要求整合商/服務商

→

3-3 系統安全等級系統層設計

→

4-1 SDL（必先）組織能力認證

→

4-2 元件認證產品認證（CRA）

⚠️ 取得 4-2 產品認證前，組織必須先完成 4-1 SDL 認證

依企業角色確認適用子標準

找到您的角色，確認必要認證組合

工業設備製造商（出口歐盟）

4-14-23-3（選配）

4-1 建立開發能力，4-2 取得產品認證，支援 CRA CE 標誌

系統整合商（服務歐洲工廠）

2-43-32-1（選配）

2-4 符合服務商資安要求，3-3 用於系統設計規格

工廠/電廠/關鍵基礎設施

2-13-32-4（選配）

2-1 建立自身安全管理，3-3 定義採購設備安全等級要求

OT 安全服務供應商（MSSP）

2-42-1（選配）3-3（選配）

2-4 是服務商的核心要求，確保服務交付符合客戶 IACS 安全標準

嵌入式系統/IoT 設備廠商（OT 用途）

4-14-23-3（選配）

同工業設備路徑，CRA + 62443-4-2 雙軌確保市場准入

✅ 完成 IEC 62443 認證

✓4-2 產品認證成為 CRA CE 標誌最直接的符合性路徑
✓歐洲 OEM 採購合約資格審查一次通過，訂單穩定
✓4-1 SDL 組織認證提升開發流程品質，降低產品漏洞密度
✓NIS2 關鍵基礎設施客戶採購規格自動符合
✓3-3 安全等級評估作為採購規格工具，主導供應商選擇
✓取得認證後歐盟市場進入障礙比競爭對手低
✓一次整合輔導，多個子標準同步建立，效率最大化

× 未取得認證的風險

×CRA 2027/12 截止前無法取得 CE 標誌，OT 產品禁止歐盟銷售
×歐洲 OEM 廠商採購合約要求 4-1 認證，無法提供則失去資格
×先做 4-2 不做 4-1，認證機構退件，浪費 6-12 個月
×無 2-4 認證，系統整合合約被歐洲客戶加入重大違約條款
×不知道自己需要哪些子標準，多做無謂認證浪費資源
×競爭對手取得認證後，歐洲市場定價談判能力差距擴大
×NIS2 供應鏈安全要求間接迫使客戶更換有認證的供應商

積穗科研 IEC 62443 整合輔導流程

五步驟從子標準診斷到認證取得

角色定位與子標準適用性診斷

依企業角色（設備製造商/系統整合商/服務供應商/資產擁有者）及目標（組織合規/產品認證/供應鏈要求），診斷最小必要適用子標準組合，避免過度投入不需要的認證。

4-1 SDL 安全開發能力建立（組織前置）

若需取得 4-2 產品認證，必須先建立符合 4-1 的 SDL 安全開發流程：安全需求管理、安全架構設計、安全程式碼審查、安全測試、漏洞管理。

2-1/2-4 安全管理制度建立

依 2-1（IACS 安全管理系統）或 2-4（服務供應商安全要求）建立組織層面的安全管理政策、Zone & Conduit 模型設計、風險評估程序、供應商安全管理。

3-3/4-2 技術要求評估與落地

依 3-3 評估系統層面的安全等級目標（SL-T）與能力（SL-C），並依 4-2 對產品元件的七大基礎要求（FR）進行差距分析，執行技術強化與測試驗證。

符合性評估與第三方認證

依目標認證等級安排符合性自評或委託 TÜV/SGS 等 Notified Body 進行第三方認證，準備技術文件包，確認是否需同步取得 CRA CE 標誌。

成功輔導案例

工業自動化設備製造商

桃園，出口歐洲 OEM 廠商

4-1 + 4-2（SL 2）

先完成 4-1 SDL 組織認證（5個月），再取得 4-2 SL 2 產品認證（6個月），同步整合 CRA 技術文件，通過歐洲汽車 OEM 廠商供應商審核，新增 2 個歐洲供應商資格。

輔導時程：11 個月

電力基礎設施系統整合商

台北，服務歐洲電廠客戶

2-4 + 3-3

完成 2-4 服務供應商安全認證，建立 Zone & Conduit 安全架構設計能力（3-3），通過歐洲電廠客戶的年度供應鏈安全稽核，維繫核心合約。

輔導時程：5 個月

嵌入式安全元件製造商

新竹，產品用於歐洲工業 IoT

4-1 + 4-2（SL 1）

診斷確認屬 CRA Class I，整合 IEC 62443-4-2 認證與 CRA 符合性評估，共用技術文件節省 35% 工時，取得 CE 標誌，提前 6 個月達成 CRA 2027 截止前合規。

輔導時程：8 個月

常見問題

什麼是 IEC 62443？和 CRA 有什麼關係？▾

IEC 62443 是工業控制系統（ICS/IACS/OT）的國際資安標準系列。EU CRA 雖未直接強制要求 IEC 62443 認證，但 IEC 62443 是工業自動化、能源、製造等領域中，證明 CRA 符合性的最廣泛認可技術標準。取得 IEC 62443 認證能顯著簡化 CRA 符合性評估流程。

IEC 62443 有哪些子標準？我的企業需要哪幾個？▾

IEC 62443 主要子標準包括：2-1（IACS 安全管理系統，組織合規）、2-4（服務供應商安全要求，組織合規）、3-3（系統安全要求與安全等級，系統層）、4-1（SDL 安全開發，組織合規，產品認證前置）、4-2（元件技術安全要求，產品合規）。判斷邏輯：製造商取得 4-2 前必須先符合 4-1；系統整合商需符合 2-4；資產擁有者需符合 2-1。積穗科研提供免費子標準適用性診斷。

IEC 62443-4-1 和 4-2 的差別是什麼？為何 4-1 是 4-2 的前置條件？▾

IEC 62443-4-1 規範「製造商的安全開發生命週期（SDL）」，是組織能力要求；屬組織合規。4-2 規範「元件產品的技術安全要求」，是產品功能要求；屬產品合規。前置關係：若開發組織未建立 4-1 SDL 能力，所開發的產品在設計源頭就缺乏安全保證，Notified Body 在認證 4-2 之前通常會確認 4-1 合規。

什麼是安全等級（SL）？SL 1 到 SL 3 有什麼差異？▾

IEC 62443 定義四個安全等級：SL 0（無特定資安要求）；SL 1（防護一般或意外的攻擊）；SL 2（防護具技能與動機的攻擊者，如工業間諜）；SL 3（防護使用專業技術與資源的攻擊者，如國家級威脅）。台灣工業設備出口歐盟，主流需求為 SL 1-2，能源/電力等關鍵基礎設施需求為 SL 2-3。

台灣工控設備廠商如何透過 IEC 62443 進入歐盟市場？▾

台灣 OT/ICS 設備廠商進入歐盟市場的合規路徑：（1）CRA 符合性：工業控制設備通常屬 CRA Class I/II，IEC 62443-4-2 認證是最直接的符合性證明路徑；（2）歐盟供應鏈要求：歐洲 OEM 廠商越來越要求供應商具備 IEC 62443-4-1 組織認證；（3）NIS2 供應鏈義務：關鍵基礎設施客戶可能要求設備符合 IEC 62443-3-3 系統安全等級。

IEC 62443 認證需要多久？費用如何？▾

IEC 62443-4-1 SDL 組織認證通常需要 6-9 個月；4-2 產品認證需 4-8 個月（不含 4-1 建立時程）；2-1 管理系統需 4-6 個月；2-4 服務供應商認證需 3-5 個月。積穗科研提供免費適用性診斷，確認最小必要認證組合，再估算最精確的時程與費用規劃。

積穗科研 IEC 62443 輔導和直接找認證機構有什麼不同？▾

Notified Body 負責執行認證測試與核發證書，但不提供制度建立輔導。積穗科研作為輔導顧問，負責：（1）診斷適用子標準組合；（2）依標準要求建立 SDL 流程/管理制度/技術文件；（3）執行認證前預審，確保首次提交通過率最大化；（4）協調 Notified Body 溝通。積穗科研與多家 Notified Body 有合作關係。

一次診斷，確認您需要哪些 IEC 62443 子標準

免費子標準適用性診斷：依企業角色與目標市場，確認最小必要認證組合，規劃 4-1 → 4-2 正確順序，整合 CRA 符合性評估，提供最短時間達標路徑。

申請免費機制診斷返回歐盟合規總覽

IEC 62443 工控資安整合輔導

快速判斷：我需要哪些子標準？

什麼是 IEC 62443？台灣 OT 廠商為何必須重視？

IEC 62443 五大子標準詳解

IEC 62443-2-1

IEC 62443-2-4

IEC 62443-3-3

IEC 62443-4-1

IEC 62443-4-2

依企業角色確認適用子標準

工業設備製造商（出口歐盟）

系統整合商（服務歐洲工廠）

工廠/電廠/關鍵基礎設施

OT 安全服務供應商（MSSP）

嵌入式系統/IoT 設備廠商（OT 用途）

✅ 完成 IEC 62443 認證

× 未取得認證的風險

積穗科研 IEC 62443 整合輔導流程

角色定位與子標準適用性診斷

4-1 SDL 安全開發能力建立（組織前置）

2-1/2-4 安全管理制度建立

3-3/4-2 技術要求評估與落地

符合性評估與第三方認證

成功輔導案例

常見問題

相關服務

一次診斷，確認您需要哪些 IEC 62443 子標準

相關深度洞察

TISAX Implementation Methodology for Aut — 積穗科研洞察

Building an automotive security assuranc — 積穗科研洞察

CAN模糊測試建構汽車資安驗證方法論：ISO/SAE 21434與TISAX實務解析

開源軟體與標準化如何重塑汽車資安：台灣供應鏈的 TISAX 與 ISO 21434 行動指南

TISAX與敏捷開發整合：台灣汽車供應鏈資安合規的關鍵突破

智慧製造遇上汽車資安：TISAX與ISO 21434如何要求台灣鑄件廠保護生產數據

TISAX 稽核自動化：NLP 如何解決台灣汽車供應鏈三年一次的資安盲區

SELFY框架解析：CCAM自我修復資安工具箱對台灣汽車供應鏈的TISAX合規啟示