CRA 歐盟網路資安韌性法案(Cyber Resilience Act)完整指南:企業進入歐盟市場的資安門檻
CRA(Cyber Resilience Act,歐盟網路資安韌性法案)是歐盟針對「所有含數位元素產品」所制定的強制性資安法規。其核心目標,是確保產品在設計、開發、上市與維運的整個生命週期中,都具備基本的資安能力與風險管理機制。
本法案已於 2024 年正式通過,預計 2027 年全面強制執行,將對所有出口歐盟的設備製造商、軟體商與系統整合商產生重大影響。
一、CRA 法規是什麼?核心概念說明
CRA 是歐盟第一個針對「產品資安」制定的橫向法規,適用範圍涵蓋:
工業設備(機械、自動化設備)
IoT 裝置(智慧設備、感測器)
軟體產品(含嵌入式系統)
網路設備(路由器、防火牆等)
其核心邏輯只有一個:產品在上市前就必須是安全的,上市後也必須持續維持安全。
這代表企業不能再用「出貨後再修漏洞」的方式,而是必須從開發階段就導入資安設計。
二、CRA 適用對象與影響範圍
CRA 並不是只針對歐洲企業,而是:只要產品進入歐盟市場,就必須符合 CRA。
適用對象包括:
製造商(Manufacturer)
進口商(Importer)
經銷商(Distributor)
軟體供應商(Software Provider)
特別是以下企業風險最高:
出口歐盟的設備製造商
有連網功能的產品開發商
OEM / ODM 廠
智慧製造與工業 4.0 相關企業
三、CRA 核心要求
CRA 將要求拆成「產品資安要求」與「企業責任義務」兩大類:
(一)產品資安基本要求
預設安全(Secure by Default)
無已知漏洞(No Known Exploitable Vulnerabilities)
安全設定與存取控制
資料保護與加密
防止未授權存取
安全更新機制(Patch Management)
(二)企業責任義務
建立風險評估機制
建立漏洞通報流程(Vulnerability Disclosure)
提供安全更新(至少 5 年或產品生命周期)
發生重大資安事件需通報(24 小時內)
建立技術文件(Technical Documentation)
四、CRA 產品分類與監管強度
CRA 將產品分為不同風險等級,不同等級對應不同驗證要求:
| 分類 | 說明 | 要求 |
|---|
| 一般產品 | 一般數位產品 | 自我符合性聲明 |
| 重要產品(Class I) | 具有資安影響 | 需第三方評估 |
| 重要產品(Class II) | 高風險產品 | 強制第三方認證 |
| 關鍵產品(Critical) | 核心基礎設施 | 最嚴格監管 |
這代表:不是所有產品都一樣,但越關鍵,要求越嚴格。
五、CRA 與其他標準的關係
CRA 並不是單一存在,而是會與既有標準與法規結合:
| 法規 / 標準 | 關係 |
|---|
| CE 標誌 | CRA 將成為 CE 合規的一部分 |
| IEC 62443 | 工業資安最佳實務依據 |
| ISO 27001 | 組織資安管理補強 |
| GDPR | 資料保護法規 |
簡單理解:
CRA = 法規(必須做)
IEC / ISO = 方法(怎麼做)
六、CRA 導入流程
企業要符合 CRA,建議採取以下步驟:
第一步:產品盤點與分類
確認哪些產品受 CRA 管制,屬於哪個風險等級
第二步:資安差距分析(Gap Analysis)
比對現有開發流程與 CRA 要求
第三步:建立安全開發流程
導入 Secure Development Lifecycle(如 IEC 62443-4-1)
第四步:建立漏洞管理與通報機制
確保符合 24 小時通報要求
第五步:技術文件與合規準備
建立完整技術檔案與風險評估紀錄
第六步:第三方驗證(如需要)
依產品分類進行測試與認證
七、企業常見錯誤
多數企業在 CRA 導入時,會遇到以下問題:
只做文件,沒有實際流程
沒有資安專責人員
開發流程沒有納入資安
漏洞管理機制不存在
無法提供完整技術文件結果就是:做了很多,但無法通過市場或客戶驗證。
八、常見問題 FAQ
Q1:CRA 一定要認證嗎?
不一定,但高風險產品必須透過第三方驗證。
Q2:沒有出口歐盟,是否需要做?
目前不需要,但若未來要進入歐盟市場,必須提前準備。
Q3:CRA 與 CE 有什麼關係?
未來 CRA 會成為 CE 合規的一部分,不符合將無法銷售。
Q4:導入需要多久?
一般企業約 3–6 個月,視產品複雜度而定。
九、內部連結與延伸閱讀
如果您對以下主題有興趣,可以瀏覽本網站其他內容:
IEC 62443 工業資安標準
ISO 27001 資訊安全管理系統
歐盟 CE 認證流程
產品測試與合規要求
十、為什麼企業現在就要開始準備 CRA
CRA 雖然在 2027 年才全面強制,但市場已經提前啟動:
歐洲客戶開始要求供應商符合 CRA
大型企業已將 CRA 納入採購條件
未來未符合將無法進入歐盟市場這不是未來問題,而是現在的競爭門檻。
十一、ODI MORGAN 如何協助企業符合 CRA
CRA 不是一張證書,而是一整套「產品資安能力」。
多數企業最大的問題不是不想做,而是:
不知道從哪開始
不知道怎麼做才符合稽核邏輯
做了卻無法被客戶接受ODI MORGAN 提供完整導入方案:
CRA 差距分析(快速找出問題)
建立符合歐盟要求的開發與管理流程
導入 IEC 62443 / ISO 27001 架構
協助技術文件與合規文件建立
對接測試實驗室與認證機構如果您的目標是進入歐盟市場,而不是只是「了解法規」,我們可以協助您用最短時間,建立可被市場認可的資安體系。
