☰

歐盟《資安韌性法》2027 年強制執行臺灣廠商如何應對？

圖片來源 : shutterstock、達志影像

※如欲轉載本文，請與北美智權報聯絡

吳碧娥╱北美智權報　編輯部

歐盟的《資安韌性法》（Cyber Resilience Act，CRA）已於2024年12月10日正式生效，並於2027年全面上路，歐盟將對網路供應鏈提供強制性網路安全標準，並課予數位產品製造商在網路安全方面的義務，以提高產品安全性之透明度。值得注意的是，相關的產品製造商最早將於2026年就必須遵守強制性的通報義務，違反者恐將面臨鉅額罰款。

根據《CRA》規定，未來數位產品要銷售到歐盟國家，製造商及其授權代理商、進口商與經銷商必須符合法遵義務，產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。而爲證明數位產品已符合資安及漏洞處理要求，製造商須依數位產品類別，對產品執行合規評估程序：若屬於重要數位產品（無論I類或II類）及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以標示產品符合規範。

《CRA》將從2026年6月11日開始適用「通知合格評估機構」的相關規定，成員國須確保2026年12月11日前，歐盟境內有足夠數量的指定合規性評估單位，其餘主要規定將於2027年12月全面生效，製造商須確保其產品符合《CRA》的資安要求。

如爲2027年12月11日前已於歐盟市場上提供的產品，將適用製造商通報義務並不受其他條文規範，除非在2027年12月11日後該產品有重大調整（substantial modification）；至於2027年12月11日後纔在歐盟市場上提供的產品，則所有條文均適用。

《CRA》重點規範

國家資通安全研究院國合治理中心研究員李婉萍指出，CRA重點規範包括：

若未能達到《CRA》相關規範，業者最高可被處以1,500萬歐元，或前一會計年度之全球年營業額2.5%之行政罰緩，必須特別注意以免不慎受罰。

圖1. 國家資通安全研究院國合治理中心研究員李婉萍在「AIoT資安法規趨勢研討會」中解析歐盟CRA的相關規範；攝影：北美智權報╱吳碧娥

《CRA》主要規範對象之法定義務

《CRA》主要規範對象包括製造商、開源軟體管理者、進口商及經銷商四大類別。

製造商

製造商重點義務包括風險評估及通報義務。製造商必須針對產品特性與漏洞處理兩面向進行基本資安要求的風險評估，要提供合規性評估、歐盟合規性聲明及CE標章等技術文件，製造商通報義務必須持續履行，包括漏洞利用和對產品資安產生影響的重大事件。

開源軟體管理者

《CRA》希望能促進開發者自願通報漏洞，涵蓋漏洞紀錄、處理以及修補相關事項，並促進開源社羣（open-source community）分享已發現漏洞的資訊，當開源軟體管理者參與產品開發時，或是發生響產品安全的重大事件，會波及開源軟體管理者提供的網路與資訊系統時，開源軟體管理者應履行法定通報義務。

進口商與經銷商

進口商與經銷商重點義務包括產品合規、必要文件以及告知義務三大面向，雖然進口商與經銷商之義務不盡相同，但均須符合以下規範：

另外，就屬於歐盟《AI法》所定義的高風險AI系統（high-risk Al systems）之產品，應遵守歐盟《CRA》的產品基本資安要求。製造商的風險評估應特別納入以下內容：

李婉萍指出，若符合歐盟《CRA》的產品基本資安要求，在根據歐盟《CRA》發佈的合規性聲明中，聲明達成歐盟《AI法》所要求的資安保護水準，則可被視爲符合歐盟《AI法》的資安要求。

《CRA》誕生於高度互聯且涉及複雜地緣政治關係的全球數位環境，隨着歐盟在網路安全威脅日益加劇，《CRA》實施將使得全球製造商皆需進行相應調整，以符合歐盟嚴格的網路安全要求。臺商可以先盤點產品與出貨國別，確定哪些需遵循《CRA》合規，並開始進行產品資安風險評估與漏洞管理制度、建立技術文件與通報流程，未來歐盟將如何應對《CRA》，亦值得臺灣廠商後續保持關注。

資料來源：

驊訊電子總經理室特助

經濟日報財經組記者

東森購物總經理室經營企劃

歐盟《資安韌性法》2027 年強制執行 臺灣廠商如何應對？

相關資訊

歐盟《資安韌性法》2027 年強制執行臺灣廠商如何應對？