如果你以為歐盟《網路韌性法案》(Cyber Resilience Act,又稱 CRA)只是一紙遙遠國度的行政命令,或者認為那是 2027 年以後才需要擔心的事,那麼本篇文章可能是你公司未來的「轉型之鑰」。
對於以出口導向為主的台灣電子製造業而言,CRA 宣告了「硬體功能至上」時代的終結,「產品資安要求」預計將正式成為與安規、EMC、RF 同等重要的市場准入條款。違者將面臨最高 1,500 萬歐元(約 5 億台幣)或全球年營收 2.5% 的天價行政裁罰。這不僅是法規遵循的問題,更是一場關於企業品牌的生存淘汰賽。今天這篇文章先不深入探究 CRA 法規本身,而是先從幾個產業界常見問題開啟後續系列文章的討論。
在深入解答各位老闆與 RD 主管的焦慮之前,讓我們先說說 CRA 法規的三大誤區:
誤區一:我們家的產品沒有 Wi-Fi 功能,不用被 CRA 監管吧?
這是最大的誤區。CRA 監管的是具備「數位元素的產品(Products with Digital Elements)」,又稱 PDE 或 PwDE。只要在歐盟市場販售的產品具有直接或間接的邏輯或實體資料連接,就會落在監管範圍內。只要你的設備或模組能透過任何方式(有線網路、藍牙、甚至USB)交換資料或進行 Firmware/Software 更新,就會在 CRA 法規的管轄之列。
誤區二:24小時內通報!?這只是歐盟的口號吧?
CRA 規定,一旦發現產品存在「已被積極利用」的漏洞或發生嚴重事故,製造商就必須在 24 小時內向歐盟 ENISA 及各國 CSIRT 發出「早期預警」。這樣的反應速度,挑戰的是企業內部的橫向溝通效率!CRA 雖未強制要求成立特定部門,但要求企業必須具備漏洞處置與即時通報的功能。如果組織內沒有預先建立好標準作業程序(SOP)與專責窗口,單靠臨時的人工確認,在跨國時差與語言壓力下,要在 24 小時內完成法定通報,無疑是拿企業信譽與法律風險開玩笑!
誤區三:Legacy產品可以眼不見為淨?
別以為庫存清完就沒事。雖然 CRA 全面強制執行是在 2027 年 12 月 11 日,但其中的「主動漏洞通報義務」將於 2026 年 9 月 11 日提前生效。 這意味著,即使 legacy 產品是在2027年12月10日前賣出的,只要2026年9月後,該產品仍在生命週期內且發生了漏洞或資安事件,身為製造商的你就必須遵守通報義務,並免費提供緩解方案給用戶。各位老闆若現在還抱著「眼不見為淨」的心態,屆時將措手不及。
面對 CRA 合規生存指南:解答製造業最頭痛的三個大哉問
面對來自歐盟市場的這場風暴,相信台灣的 OEM/ODM、品牌商、RD、PM 與認證團隊一定充滿了疑問。以下針對業界最關心的三個常見問題,提供第三方的觀察:
FAQ01:「我只是 OEM/ODM 製造商,CRA 實施後出貨到歐盟,怎麼做才不會被罰錢?是不是把合規責任推給品牌方就好了?」
死道友也會死貧道。 法律責任確實在品牌方,但在 CRA 的技術文件(Technical Documentation)要求下,品牌方將更有壓力要求身為代工廠的你提供符合標準的軟體物料清單(SBOM)、風險評估報告或安全開發流程證明,若您無法提供,品牌商為了自保,唯一的選擇就是「換掉供應商」。
換句話說,產品資安合規能力,將是代工廠未來的接單入場券。ISA 臺灣分會的專家們會建議您儘快在內部進行以下三點:
盤點資產:無論產品型號新舊,先確認哪些產品會賣到2027年後。
生成 SBOM:搞清楚貴公司的產品裡用了哪些開源軟體元件。
建立通報機制:確保2026年9月前,貴公司有人員與窗口能處理漏洞通報。
FAQ02:「我們公司已經有 ISO 27001 和 IEC 62443-4-1 認證,這樣在 CRA 合規的部分是不是就可以安全下莊了呢?」
這裡必須釐清一個關鍵差異:ISO 27001 是針對『組織資產管理(ISMS)』,而 CRA 則是針對『產品安全(Product Security)』。 雖然 ISO 27001 代表貴公司有資安治理的基礎,但它無法涵蓋產品本身的技術安全性。
相較之下,ISA/IEC 62443-4-1(安全開發生命週期) 才是真正對接 CRA 要求的核心。擁有此認證代表貴公司在產品設計階段就已納入資安考量(Security by Design)。
因此,已經有 4-1 認證的團隊,接下來的重點在於銜接 CRA 特有的市場准入行政要求(如:歐盟符合性宣告 DoC、漏洞協調揭露流程)。而僅有 ISO 27001 的公司,則需儘速補強產品研發端的技術標準,建議從 ISA/IEC 62443 系列標準入手,才能真正填補從『組織資安』到『產品資安』的鴻溝。」
還未開始規劃的研發團隊主管們,你們還在等後面的 EN 40000-1-x 調和標準嗎?不要等,現在就啟動 ISA/IEC 62443-4-1 SDLC 的導入以優化現有流程。目前 prEN 40000-1-x 系列標準是 ETSI、CEN/CENELEC 等組織正在制定的 CRA 調和標準(Harmonized Standards),仍在草案階段。然而,若等到 2026 年才開始改善 SDLC 流程,絕對來不及趕上 CRA 訂於 2027 年的實施日期。若有興趣進一步深入了解,也可參考歐盟執委會 CRA 專家小組的核心成員之一 : Dr. Lukasz Kister 在2025年九月份透過ISA臺灣分會與台灣電子製造業界朋友們提出的幾個關鍵挑戰與應對策略。
FAQ03:「聽說 CRA 會將產品依風險等級分類,我的產品會屬於哪一類?對應的合規義務會不同嗎?」
CRA 將產品依風險等級分為四大類,潛在風險由輕至重分別為:
預設產品(Default):市面上約 90% 產品(如智慧檯燈、普通家電)會在這個類別。可採「自我宣告」,合規成本最低。
重要產品一類(Important Product Class I): 如操作系統、防火牆、工業控制系統、微處理器。
重要產品二類(Important Product Class 2): 這類產品通常需要「第三方驗證機構(Notified Body)」介入。
關鍵產品(Critical Product):如智慧卡讀卡機、智慧電表產品等,合規成本最高。
橫跨這四大不同類別產品,將會有一系列的調和標準(Harmonized Standards)做為合規中心思想,類似所有產品場應該要做到的最低門檻。例如:產品的風險評估報告、持續的軟體安全更新機制必須提供至少 5 年(或產品預期壽命)的安全支援期等等。隨後歐盟執委會將再公告不同類型產品建議參考的垂直標準(Vertical Standards),這些不同的垂直標準將對應至不同風險的 PwDEs,讓製造商尚未導入合適標準的廠商,可參考這些標準做為的合規依據。
整體 CRA 要求中,除了上述的三項要點之外,還有機器可讀取的 SBOM(軟體物料清單)、2026年9月11號要落實的漏洞通報機制、供應鏈的風險控管、歐盟市場 B2B 商務合作等等在落地時會遇到的痛點,讓我們在後續的文章中再繼續詳述。
結語:將「合規」轉化為「訂單」
CRA 可以預期是一場對台灣製造業的「大洗牌」,對於習慣削價競爭、忽視開發流程品質的廠商來說,這確實是滅絕級的挑戰;但對於願意轉變 mindset,重視產品全生命週期資安需求的企業而言,CRA 築起的這道高牆,將成為你阻擋低價競爭對手的最佳護城河。
競爭優勢不是等出來的。建議各位企業主現在就啟動 CRA 合規專案小組,評估現有產品線的風險等級,並著手將資安標準納入研發流程。若您對如何將國際標準(如 ISA/IEC 62443)銜接至 CRA 感到迷惘,歡迎聯繫 ISA 臺灣分會 的專家團隊,我們將提供實務經驗協助您在風暴中站穩腳步。
備註:This article does not speak for the International Society of Automation (ISA) | 本篇報導不代表國際自動化協會 (ISA) 立場
參考資料: