TAIROA 台灣智慧自動化與機器人協會 Taiwan Automation Intelligence and Robotics Association

新聞專欄 > 檢測驗證

歐盟 CRA 法規全解析：別以為只是硬體的事！軟體、韌體到雲端，管轄範圍一次看懂

ISA臺灣分會姚毅昇、李培寧、詹燿州共同撰文 | 2026

在上一篇文章中，我們揭示了歐盟《網路韌性法案》（Cyber Resilience Act, 簡稱 CRA）對台灣出口製造業帶來的「滅絕級」挑戰。許多老闆與研發主管看完後的第一個反應往往是：「我們家做的是傳統硬體，只有加一個簡單的韌體控制，也沒有 Wi-Fi 上網功能，CRA 應該管不到我們吧？」

如果您也抱持這種想法，請立刻轉變您的 Mindset！

歐盟 CRA 法規的核心監管對象是「具備數位元素的產品」（Products with Digital Elements, 簡稱 PwDE）。在歐盟標準制定組織的定義中，硬體與軟體生硬的界線已被徹底打破。今天，ISA 臺灣分會的專家團隊將深入解析 CRA 的管轄範圍、產品分級，並透過 ISA/IEC 62443 標準，為台灣製造商指引一條將法規挑戰轉化為競爭優勢的清晰路徑。

什麼是 PwDE？釐清 CRA 管轄範圍的三大迷思

為了解決產業界的疑惑，歐盟執委會（European Commission）發布了官方的 CRA 常見問題解答（FAQs）。我們整理出台灣製造商在判斷「產品是否落入管轄範圍」時，最常踩坑的三大核心問題：

常見問題 01：我的產品算是「具備數位元素的產品 (PwDE)」嗎？

根據 CRA 法規 (EU) 2024/2847 第 2 條（適用範圍）與官方 FAQ 1.1，要判斷產品是否受 CRA 管轄，必須「同時滿足」以下三個條件：

符合 PwDE 的定義：它包含軟體或硬體，或其遠端資料處理解決方案。
在歐盟市場投放（Placing on the market）：無論是收費或免費提供，只要進入歐盟商業活動即算。
具備連接能力：其預期用途或合理可預見的用途，包含與設備或網路的「直接或間接」的「邏輯或實體」資料連接。

💡 專家洞察：當心你的「雲端服務」也被納管！

在歐盟 CRA 法規的放大鏡下，「具備數位元素的產品（PwDE）」不僅僅指你看得見、摸得到的實體設備，還明確包含了與該設備連動的「遠端資料處理解決方案（Remote data processing solutions）」。

判斷的黃金準則只有一個：「如果切斷這個雲端服務，貴公司的硬體還能發揮它宣稱的『核心功能』嗎？」

如果答案是「不能」，那麼這個雲端服務就被視為該產品的延伸，您（製造商）就必須為這個雲端服務的資安負起 CRA 的合規責任，不能把鍋推給 AWS、Microsoft Azure 或 Google Cloud Platform。

情境案例：外銷歐洲的「智慧網路攝影機（IP Camera）」

使用者必須下載專屬 App，註冊帳號連上製造商的雲端伺服器，才能遠端觀看即時影像。在 CRA 的判定上，若沒有這個雲端後台進行身分驗證與影像串流，攝影機就失去了「遠端監控」的核心功能。因此，該智慧網路攝影機運用雲端伺服器提供的 API 服務以及雲端儲存加密服務的資料解決方案，便需要符合 CRA 規範。

常見問題 02：我們只賣獨立的「軟體」或「韌體」，這也算 PwDE 嗎？

是的，完全算是 PwDE！

根據 CRA 法規第 3 條與官方 FAQ 1.2，單獨投放市場的軟體或

韌體 (Standalone Software or Firmware)，本身就被視為「具備數位元素的產品」。這意味著，如果您是一家專門為歐洲工業設備開發作業系統、控制軟體、甚至是手機 App 的純軟體公司，您同樣是 CRA 規範下的「製造商」，必須承擔從風險評估到漏洞通報的完整合規義務。

情境案例：台灣馬達廠的「智慧馬達預測性維護」SaaS 服務

該方案透過馬達感測器將數據傳送到「雲端分析戰情室」，由 AI 判斷維修時機。這種 SaaS 加購銷售模式，將雲端平台的「預測能力」做為關鍵功能。因此，該 SaaS 服務的開發流程與漏洞管理，必須與硬體一併接受 CRA 檢驗。

常見問題 03：產品不連網就沒事？「資料連接」到底是什麼意思？

這是台灣傳統硬體廠商最容易誤解的地方！根據歐盟官方 FAQ 1.3 的解釋，資料連接包含：

實體連接（Physical connection）：不僅限於網路線！只要能透過實體介面（如 USB、序列埠 Serial port、SD 卡插槽等）進行資料傳輸，就符合條件。
邏輯連接（Logical connection）：包括透過網路協定（TCP/IP）、藍牙、甚至 API 介面交換數據。
間接連接（Indirect connection）：即使設備本身不直接連網，但它會連接到另一台連網的設備（例如一個透過 USB 連接到電腦，再由電腦連網更新韌體的感測器），這同樣受 CRA 監管。

結論：只要您的產品能透過任何形式「傳輸資料」或「更新軟體」，它就在 CRA 的管轄範圍內。

你的產品屬於 CRA 哪一個分級？四大產品類別解析

確認產品在管轄範圍內後，下一步是「產品分類」。CRA 根據 PwDE 自身屬性以及其預設提供的服務受影響時產生的安全風險, 將 PwDE 分為四大類，這將直接決定您企業合規的成本與難度：

預設類別（Default category）：涵蓋市面上約 90% 的產品（如照片編輯、文書處理類軟體、硬碟）。這類產品製造商可進行自我評估（Self-assessment）並建立技術文件，合規成本相對較低。
重要產品第一類（Important Products, Class I）：詳列於 CRA Annex III。包含作業系統、微處理器（MCU）等。可依循調和標準進行自我評估或透過「第三方公告機構（Notified Body）」進行評估。
重要產品第二類（Important Products, Class II）：包含防火牆、入侵偵測與防禦系統 (IDS/IPS) 等。此類別強制要求「第三方公告機構（Notified Body）」介入進行審查。
關鍵產品（Critical Products）：詳列於 CRA Annex IV。如智慧卡（Smartcards）、硬體安全模組（HSM）等。面臨最嚴格監管，必須取得歐盟網路安全認證（如 EUCC）。

從法規到實戰：用 ISA/IEC 62443 破解 CRA 資安要求

CRA 最核心的產品資安技術要求，全寫在附件壹第一部分 (Annex I Part 1: Cybersecurity requirements relating to the properties of products with digital elements)。法規要求產品必須「設計依規安全（Secure by design）」，且在交付時「沒有任何已知的可利用漏洞」。

對於 RD 與工程團隊來說，歐盟法規的文字往往過於抽象。此時，ISA/IEC 62443 國際標準就是將法規轉化為「工程實作語言」的最佳解方：

落實「無已知的可利用漏洞」與「設計即安全 (Secure by Default) 」 (對應 IEC 62443-4-1)：
CRA 要求在產品的完整生命週期內，將其可能產生或導致的風險納入考量。這完美對應了 ISA/IEC 62443-4-1（安全產品開發生命週期要求）。依循 ISA/IEC 62443-4-1 所建議的框架 (包含威脅建模、設計依規安全、安全實作、安全驗證、安全相關問題管理等)，製造商能提交及佐證 CRA 所要求的「技術文件（Technical Documentation）」。
滿足「存取控制與機密性」等技術特徵 (對應 IEC 62443-4-2)：
CRA 要求產品必須具備身分驗證、加密通訊及事件監控能力。這些要求可直接映射（Mapping）到 ISA/IEC 62443-4-2（IACS 組件的技術安全要求）中的各項基本要求（FRs），如 FR 1（識別與鑑別控制）與 FR 4（資料機密性）。
釐清系統與雲端邊界 (對應 IEC 62443-3-2)：

當硬體、App 與雲端被視為一體時，可利用 ISA/IEC 62443-3-2（系統安全風險評估）透過定義「區域與通道（Zones and Conduits）」，清晰劃分硬體端、通訊端與雲端平台及其服務的資安防護責任。

結語與下一步行動：化被動合規為企業優勢

請不要再將 CRA 的法規要求視為單純的 IT 問題，這是牽動內外部供應鏈的「全方面要求」。對於台灣的 ODM/OEM 廠商與品牌商而言，現在就應該啟動貴公司各產品線的盤點工作：

確認即將於 2026 年九月後在歐盟市場販售的產品線有哪些？
釐清貴公司產品的預期用途以及歸屬 CRA 的哪一類產品範疇？
開始依循 ISA/IEC 62443-4-1 安全產品開發流程以及 ISA/IEC 62443-4-2 標準所提出的技術要求，進行產品升級。

合規的時鐘已經開始倒數。及早導入 ISA/IEC 62443 系列標準，不僅能確保您的產品在 2027 年順利通關歐洲，更能成為您向全球買家證明「我們家產品最安全」的強力護身符！

下一步準備好了嗎？

如果您對團隊的產品是否落入 CRA 重要或關鍵類別仍有疑慮，或者想了解如何將 ISA/IEC 62443 無縫導入現有研發流程，歡迎與【ISA 臺灣分會】聯繫。我們可以協助對接專業的標準培訓與合規差距分析（Gap Analysis）團隊，協助貴公司搶佔歐洲市場先機！

參考資料：

Cyber Resilience Act Implementation - Frequently Asked Questions. (2025, December 3). European Commission. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-implementation-frequently-asked-questions
Cyber Resilience Act Requirements Standards Mapping - Joint Research Centre & ENISA Joint Analysis. (2024, April 4). Enisa. https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping
How CRA Standards Are Built. (2026, January). CYBERSTAND.Eu. https://cyberstand.eu/how-cra-standards-are-built

資訊來源：ISA臺灣分會
日期：2026/02/24
https://isa.org.tw/

TAIROA 台中 408221 台中市南屯區精科路26號4樓 (精密機械科技創新園區服務中心) 電話：886-4-23581866 傳真：886-4-23581566 電子郵件：service@tairoa.org.tw(協會會務、展覽)	TAIROA 台北 100510 台北市中正區新生南路一段50號6樓 603室電話：886-2-23931413 傳真：886-2-23931405 電子郵件：exam@tairoa.org.tw(證照考試事務)
Copyright © 2012 TAIROA All Rights Reserved. jQuery Menu by Apycom