BSI技術指引 TR-03183-1
| 適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。 CC BY-SA 4。0。 |
圖一:該指引目錄
1 介紹
《網路韌性法案》(EU 2024/2847 CRA)旨在提升歐盟網路與資訊安全的關鍵倡議。隨著數位產品與服務日益成為日常生活與商業的核心,CRA 引入了橫向法律網路與資訊安全架構,以應對因數位元素產品日益複雜且普及所帶來的網路與資訊安全風險。透過為歐洲市場中帶有數位元素的產品建立必要的資訊安全(cybersecurity)要求,CRA 旨在減少市場碎片化,並確保所有使用者都能享有適當的資安水準。該法規鼓勵製造商在整個產品生命週期中採用安全設計原則及主動的漏洞管理。而且CRA支持韌性的數位環境,促進對科技的信任,並強化歐盟在全球數位經濟中的地位。
該技術指引(TR)旨在協助具備數位元素的產品製造商,根據CRA附錄I(基本網路與資訊安全需求)、附錄II(給使用者的資訊與指示)及附錄VII(技術文件內容)中所敘述或衍生出的安全目標,準備CRA所需的要求事項、建議、測試措施及評鑑準則。
對該技術指引的回饋可作為目前及未來在標準化請求中支持工會數位元素產品網路與資訊安全政策的參考。此請求包括制定標準化成果,旨在成為歐洲調和標準。符合這些歐洲調和標準,將推定在其範圍及可能的限制範圍內符符合法規要求規範。此等事項適用於一般性的水準標準以及產品類型的垂直標準。
當該技術指引內容被上述標準化要求下的相應標準化成果涵蓋後,將以前述形式化作業予以取代。
德國BSI聯邦資訊安全辦公室(見圖2),撰寫技術指引 TR-03183:製造商與產品的網路韌性要求,提供產業界參考運用。到目前為止(2026年5月)已公告的指引如示,參見德國BSI官方網站以獲得後續更新版本:
- TR-03183-1 製造商與產品的網路韌性要求 第一部分:一般要求
- TR-03183 -2製造商與產品的網路韌性要求 第二部分:軟體元組件清單(SBOM)
- TR-03183-3製造商與產品的網路韌性要求 第三部分:漏洞報告與通知版本
- TR-03183-H(草稿)製造商與產品的網路韌性要求 第H部分:基於完全品質保證(模式H)的符合性
圖二:德國BSI網站標識
2 重要:該指引現況
由於CRA的技術與法律細節仍在制定中,該指引將與歐洲標準化、法律澄清及對該指引的進一步回饋同步進行進一步發展。為此,該技術指引將作為「活文件」處理,並定期更新。此文件可用於
- 為製造商收集有關CRA的資訊;
- CRA 實施的回饋平台及支持 CRA 標準化;
- 一份提供給CRA的資訊,以及為缺乏足夠結構化的安全設計與漏洞處理流程的製造商制定指引。
- 對製造商建立任何義務;
- 在適用時,對CRA基本資安要求給予符合性的假設推定;
- 持續地反映當前標準化內容的狀態;
- 敘述能處理CRA的唯一方式。
3 網路韌性概述
《網路韌性法案》(CRA)指的是歐洲議會及理事會於2024年10月23日通過的第2024/2847號條例,該條例乃關於數位元素產品的橫向網路與資訊安全要求,並修訂了歐盟第168/2013號條例、(EU)2019/1020條例及(EU)2020/1828指令,是首部對歐盟市場上帶有數位元素產品設定強制性網路與資訊安全等級的橫向歐洲條例。其適用於能直接或間接連接器材或網路的硬體與軟體產品,例如:智慧型手機、筆記型電腦、智慧家庭裝置、物聯網產品、軟體應用程式,甚至是微處理器和防火牆等元件。製造商需在產品整個支援期間對資訊安全負起責任。另一方面,得以支援使用者獲得適當地選擇產品,確保產品具備網路與資訊安全的性能。新條例適用於所有歐盟成員國,並將會逐步地實施相關做法。CRA的目標是:
- 保護消費者與企業免受數位產品中的資安漏洞與弱點影響;
- 解決供應鏈中的資安風險,確保產品設計與預設狀態皆為安全屬性,並讓使用者擁有安全地使用產品的必要資訊;
- 調和歐盟的網路與資訊安全標準,以統一地方式取代分散的法規狀況。
3.1 新立法架構 New Legislative Framework
CRA是遵循新立法架構(NLF)寫成的條例,該架構是一套於2008年通過的歐盟(EU)條例與決定,並於2010年全面生效。該架構設計目的是提升產品在歐盟內部市場的運行,並強化產品安全,進而提升歐盟內部市場的安全與法規一致性。該架構旨在透過統一產品法規及降低技術性貿易障礙,促進歐盟內貨物的自由流通。它強化歐盟內部市場監督規則,以更好地保護歐盟境內消費者和專職從業人士免受不安全或是被發現不安全的產品影響,包括從歐盟境外進口的產品。該架構訂定了明確的符合法規評定規則,確保產品在放入市場前符合歐盟法規,並由歐洲調和標準支持。NLF為產品提供共同法律架構,並協調歐盟經濟營運者的義務達到一致且合於歐盟條約的基本水準。
新立法架構的基本理念是給予必要信任替代前期實施管制措施。該架構要求製造商確保其產品符合適用的法律要求。透過在產品貼附CE標誌,製造商宣告該等產品符合相關指令與條例的基本安全與基本性能要求。
雖然大多數產品在放入市場前毋需取得核准,但成員國市場監督的主管機關隨時會在歐盟境內執行抽樣檢查,主要透過在境內市場上(包括供應鏈各個階段、倉庫、店舖等)隨機抽樣。某些產品由授權的獨立第三方(即公告機構)進行上市前符合性評鑑,僅適用於相關條例中明確寫出的特定產品類型。
NLF的條例與CRA一致,訂定與條例管制下的產品相關基本要求。製造商可選擇各種各樣符合該等要求的技術解決方案。
3.2 CRA 的範圍
CRA 適用於市場上含有數位元件(PwDE: Products with digital elements)的產品,若其預期目的或合理可預見的使用,係包含直接或間接資料連結至器材或網路。(CRA第2條第1款)這包括透過軟體介面的邏輯連接,以及透過實體傳遞方式實現的電子資訊系統或元件之間的物理連接,包括電氣、光學或機械介面、導線或無線電波。PwDE 是一種軟體或硬體產品及其遠端資料處理解決方案(RDPS),包括可能單獨上市的軟體或硬體元件。RDPS 包含軟體由製造商設計與開發,或由製造商負責的範圍內所有的資料處理,若缺乏此項功能,將阻礙帶有數位元素的產品執行其原有功能(CRA 第 3(1) 及 (2) 條)。
除了數位硬體(大多數已具備符合CE標誌的要求事項)外,商業發行的軟體也將受CE標誌約束。這也包括市場上免費提供但具有商業意圖的軟體,例如:具有營利服務模式的線上儲存服務行動應用程式,或由廣告支持的軟體。(CRA第3(22)條)。
3.2.1 排除事項
CRA 排除了一些已經受其他條例約束的產品類型:- 屬於《歐盟醫療器材條例》(Regulation (EU)2017/745或《歐盟體外診斷醫療器材條例》(Regulation (EU)2017/746(《CRA》第2(2)a)&,b)條)適用範圍的醫療器材;
- 屬於歐盟法規2019/2144(CRA第2(2)c)條)範疇內的機動車輛及其拖車;
- 具備數位元素且依民航領域共同規則認證的產品,如歐盟法規2018/1139(CRA第2(3)條);
- 屬於歐洲議會及理事會指令2014/90/EU(CRA第2(4)條)範疇內的海事設備;
CRA也不適用於:
- 市場上可用以替換相同零件的備件(CRA第2(6)條);
- 專為國家安全而開發或修改的數位元素產品(CRA第2(7)條);
- 專門設計用於處理機密資訊的產品(CRA第2(7)條);
- 無商業意圖的軟體,如:自由開源軟體(FOSS)(CRA第3(22)條);
- 雲端服務可獨立於使用者基礎設施,即無需本地客戶端上市的 I/P/SaaS(CRA 第 3(1) 條);
(未完,見次篇)




































