作者：華宇企管-商研部

前言

CRA 不僅是一項資安法規，更全面推動了產品設計、軟體開發、供應鏈管理及歐盟市場准入機制的變革。對於積極布局歐洲市場的台灣企業而言，CRA 已不再只是法遵議題，而是攸關企業競爭力與國際接單能力的重要戰略課題。

歐盟CRA的核心規範與範疇

一、歐盟資安監管升級：從產品驗證走向全生命週期管理

過去企業熟悉的 CE 標誌制度，多聚焦於產品上市前的安全、健康與環境要求驗證。然而 CRA 將資安要求正式納入歐盟產品合規體系之中，並強調產品全生命週期的資安管理。未來企業不僅需要在產品上市前符合資安要求，更必須持續管理產品上市後的資安風險，包括：

• 威脅建模（Threat Modeling）
• 安全軟體開發（Secure Software Development）
• 漏洞監控與管理
• 安全更新與修補機制
• 資安事件通報與應變

資安不再是產品開發完成後的附加功能，而是從設計到退役皆需持續管理的重要能力。

二、「Secure by Design」與「Secure by Default」成為基本要求

CRA 明確要求產品必須落實：Secure by Design（設計即安全）。在產品設計與開發初期即導入資安控制措施，而非事後補強。

產品出廠時即具備適當的資安保護機制，例如：

• 身分驗證機制
• 權限控管
• 加密通訊
• 安全預設設定

未來產品是否具備完整的資安設計能力，將直接影響其是否能順利進入歐盟市場。

三、哪些產品可能受到 CRA 影響？

CRA 的監管對象為：Products with Digital Elements（PwDE），即「具數位元素產品」。通常符合以下條件之一即可能被納入管理：

• 含有軟體或韌體
• 具備數位處理功能
• 具備資料交換能力
• 可透過網路或其他介面進行資料傳輸

常見產品包括：

• Router（路由器）
• IP Camera（網路攝影機）
• Smart TV（智慧電視）
• Smart Watch（智慧手錶）
• 智慧家電
• 工業控制設備
• IoT 裝置
• 網路設備
• 軟體產品

此外，若產品功能依賴雲端服務運作，相關的數位服務也可能成為 CRA 評估的重要範圍。

四、CRA 產品風險分級制度

CRA 依產品風險程度區分不同監管要求。

1.預設類別（Default Category）：大部分產品屬於此類。企業可透過自我符合性評估完成合規程序。

2. Important Products Class I：

• 作業系統
• 微控制器（MCU）
• 網路設備相關元件

3. Important Products Class II：此類產品通常需經第三方符合性評估

• 防火牆
• 入侵偵測系統（IDS）
• 特定高風險網路設備

4. Critical Products：屬於最高風險等級，監管要求最嚴格

• 硬體安全模組（HSM）
• 智慧卡相關產品

五、製造商責任大幅提高

CRA 將大量合規責任放在製造商（Manufacturer）身上。即使最終產品整合了第三方軟體、開源元件或外部供應商提供的零組件，最終產品的合規責任仍由製造商承擔。因此企業需要：

• 建立供應商資安管理機制
• 評估第三方元件風險
• 強化外包商管理
• 建立可追溯的資安文件與紀錄
• 確保產品持續符合 CRA 要求

未來供應鏈資安能力將成為品牌客戶評估供應商的重要指標之一。

企業必須關注的關鍵時程

• 2024 年 12 月：CRA 正式生效。
• 2026 年 9 月：漏洞與資安事件通報義務開始適用。
• 2026 年底：歐盟預計陸續公布相關調和標準（Harmonised Standards）。
• 2027 年 12 月：CRA 大部分要求正式強制實施。

未符合規範的產品將可能無法進入歐盟市場。

企業合規痛點與風險

一、SBOM 將成為企業資安管理的重要工具

CRA 特別重視軟體供應鏈安全。企業未來可能需要建立：Software Bill of Materials（SBOM），即「軟體材料清單」。透過 SBOM，企業能掌握：

• 使用哪些開源軟體
• 使用哪些第三方函式庫
• 元件版本資訊
• 已知漏洞風險

當新的資安漏洞（CVE）被揭露時，企業才能快速確認受影響產品並採取補救措施。對於電子製造業、IoT 設備廠商及軟硬體整合企業而言，SBOM 將逐漸成為基本管理要求。

二、高額罰鍰與市場禁售風險

CRA 延續歐盟法規一貫的高強度執法模式。企業若違反法規要求，可能面臨：

• 最高 1,500 萬歐元罰鍰或全球年度營業額 2.5 (以較高者為準)
• 停止銷售
• 下架召回
• 市場禁售

對企業品牌與商譽將造成重大影響。

三、台灣企業應立即啟動的三大行動

1.產品盤點 (確認哪些產品屬於 PwDE 範圍)：

• IoT產品
• 智慧設備
• 工業控制設備
• 網通產品
• 軟體產品

2.導入國際資安標準，建立系統化資安管理能力 (建議參考)：

• ISA/IEC 62443
• ISO/IEC 27001
• Secure Development Lifecycle（SDL）

3.建立供應鏈完整的端到端（End-to-End）資安治理機制，涵蓋：

• 供應商評估
• 第三方軟體管理
• SBOM管理
• 漏洞管理流程
• 資安稽核機制

結語

從 GDPR 到 CRA，歐盟正逐步將「數位信任」轉化為新的國際貿易規則。未來企業競爭的核心，將不再只是價格、品質與交期，更包括產品的資安能力、供應鏈韌性以及法規合規能力。

對台灣企業而言，CRA 不只是新的合規要求，更是進入歐洲市場的重要門票。及早布局資安治理與供應鏈管理能力的企業，將有機會在新一輪全球供應鏈重組中取得競爭優勢。

-----------------------------------------------------------------------------------------------------------------

相關服務：

• IEC 62443 工控系統資安管理標準
• ISO/IEC 27001 資訊安全管理