歐盟網路韌性法案 (Cyber Resilience Act, CRA) 針對具有數位元件的產品製造商提出了涵蓋產品全生命週期的核心要求,旨在建立統一的網路安全框架。
以下為法案對製造商的四大核心要求:
1. 基本網路安全要求 (上市前)
製造商在產品上市前必須確保其設計與開發符合法定的安全標準:
設計安全與預設安全 (Secure-by-Design / Secure-by-Default): 安全性必須從產品規劃階段就納入考量,並在預設情況下提供安全配置。
網路安全風險評估 (Cyber Risk Assessment): 製造商必須針對產品的「預期用途」及可預見的使用情況,進行風險評估並產製報告。
無已知可利用漏洞: 產品交付時,必須確保內部沒有已知且可被輕易利用的漏洞。
軟體物料清單 (SBOM): 必須識別並記錄產品內含的所有數位元件(包括開源組件)及其相依性,以提高透明度。
具備紀錄與監控能力: 產品需具備日誌紀錄 (Logging) 能力,以便追蹤潛在的資安事件。
2. 漏洞處理與生命週期維護 (上市後)
法案要求製造商在產品上市後仍需承擔長期的安全責任:
持續維護期: 製造商需提供長達 5 年(或產品預期壽命)的免費資安更新服務。
及時修補漏洞: 一旦發現漏洞,必須「延遲不得」地識別、處理並修補,並提供安全更新包。
協作式漏洞披露 (CVD): 製造商必須建立漏洞通報政策,接受並處理來自外部回報的漏洞資訊。
3. 強制性通報義務 (Article 14)
製造商在發現嚴重問題時,必須向歐盟網路安全局 (ENISA) 履行時限通報義務:
通報對象: 已被利用的漏洞 (Exploited Vulnerabilities) 或嚴重的資安事故。
通報時限:
24 小時內:發出預警通報 (Early Warning)。
72 小時內:提交詳細通報 (Detailed Notification)。
14 天或 1 個月內:提交最終結案報告 (Final Report)。
4. 合規評估與 CE 標誌
產品必須通過相應的評估程序才能合法進入歐盟市場:
技術文件完備: 準備包含設計資訊、測試結果、風險評估報告等在內的技術文件檔案。
符合性評估程序 (Conformity Assessment): 根據產品風險等級,採行「自我聲明」(Module A) 或「公告機構 (Notified Body) 審查」等路徑。
標註 CE 標誌: 產品必須標示 CE 標誌並簽署歐盟符合性聲明 (DoC),以證明符合 CRA 要求。
違規代價: 製造商若未能遵守上述核心要求,可能面臨最高 1,500 萬歐元 或全球營業額 2.5% 的鉅額罰款,且產品可能面臨下架或召回的風險