歐盟 CRA 倒數引爆：不合規，2027 直接被市場淘汰！

歐盟資安監管升級：從產品驗證走向全生命週期管理

CRA 將大量合規責任放在製造商（Manufacturer）身上。即使最終產品整合了第三方軟體、開源元件或外部供應商提供的零組件，最終產品的合規責任仍由製造商承擔。因此企業需要：

• 建立供應商資安管理機制
• 評估第三方元件風險
• 強化外包商管理
• 建立可追溯的資安文件與紀錄
• 確保產品持續符合 CRA 要求

未來供應鏈資安能力將成為品牌客戶評估供應商的重要指標之一。

SBOM 將成為企業資安管理的重要工具

CRA 特別重視軟體供應鏈安全。企業未來可能需要建立：Software Bill of Materials（SBOM），即「軟體材料清單」。透過 SBOM，企業能掌握：

• 使用哪些開源軟體
• 使用哪些第三方函式庫
• 元件版本資訊
• 已知漏洞風險

當新的資安漏洞（CVE）被揭露時，企業才能快速確認受影響產品並採取補救措施。對於電子製造業、IoT 設備廠商及軟硬體整合企業而言，SBOM 將逐漸成為基本管理要求。

哪些產品可能受到 CRA 影響？

CRA 的監管對象為：Products with Digital Elements（PwDE），即「具數位元素產品」。通常符合以下條件之一即可能被納入管理：

• 含有軟體或韌體
• 具備數位處理功能
• 具備資料交換能力
• 可透過網路或其他介面進行資料傳輸

常見產品包括：

• Router（路由器）
• IP Camera（網路攝影機）
• Smart TV（智慧電視）
• Smart Watch（智慧手錶）
• 智慧家電
• 工業控制設備
• IoT 裝置
• 網路設備
• 軟體產品

此外，若產品功能依賴雲端服務運作，相關的數位服務也可能成為 CRA 評估的重要範圍。

CRA 產品風險分級制度

CRA 依產品風險程度區分不同監管要求。

預設類別（Default Category）：大部分產品屬於此類。企業可透過自我符合性評估完成合規程序。

Important Products Class I：

• 作業系統
• 微控制器（MCU）
• 網路設備相關元件

Important Products Class II：

• 防火牆
• 入侵偵測系統（IDS）
• 特定高風險網路設備

此類產品通常需經第三方符合性評估。

Critical Products：

• 硬體安全模組（HSM）
• 智慧卡相關產品

屬於最高風險等級，監管要求最嚴格。

高額罰鍰與市場禁售風險

CRA 延續歐盟法規一貫的高強度執法模式。企業若違反法規要求，可能面臨：

• 最高 1,500 萬歐元罰鍰
• 或全球年度營業額 2.5%

以較高者為準。除罰鍰外，產品還可能遭到：

• 停止銷售
• 下架召回
• 市場禁售

對企業品牌與商譽將造成重大影響。

企業必須關注的關鍵時程

2024 年 12 月：CRA 正式生效。

2026 年 9 月：漏洞與資安事件通報義務開始適用。

2026 年底：歐盟預計陸續公布相關調和標準（Harmonised Standards）。

2027 年 12 月：CRA 大部分要求正式強制實施。

未符合規範的產品將可能無法進入歐盟市場。

台灣企業應立即啟動的三大行動

一、產品盤點 (確認哪些產品屬於 PwDE 範圍)：

• IoT產品
• 智慧設備
• 工業控制設備
• 網通產品
• 軟體產品

二、導入國際資安標準(建議參考)：

• ISA/IEC 62443
• ISO/IEC 27001
• Secure Development Lifecycle（SDL）

建立系統化資安管理能力。

三、建立供應鏈資安治理機制，涵蓋：

• 供應商評估
• 第三方軟體管理
• SBOM管理
• 漏洞管理流程
• 資安稽核機制

建立完整的端到端（End-to-End）資安治理能力。

結語

從 GDPR 到 CRA，歐盟正逐步將「數位信任」轉化為新的國際貿易規則。未來企業競爭的核心，將不再只是價格、品質與交期，更包括產品的資安能力、供應鏈韌性以及法規合規能力。

對台灣企業而言，CRA 不只是新的合規要求，更是進入歐洲市場的重要門票。及早布局資安治理與供應鏈管理能力的企業，將有機會在新一輪全球供應鏈重組中取得競爭優勢。