EU Cyber Resilience Act(CRA)
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3
適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
第八章 技術文件(附錄 VII)
8.1 技術文件的法律地位
技術文件(Technical Documentation)是製造商符合 CRA 的核心舉證材料。依 §31 及 附錄VII,製造商必須在產品暨數位元素放入市場前準備完整的技術文件,以公告機構所在成員國的官方語言撰寫(通常可接受英文版),整個支援期間持續更新並維持有效版本,並在係稱產品最後一次放入市場後至少保存 10 年。技術文件不需主動提交給主管機關,但在市場監督機關要求時必須完整提供。
8.2 附錄 VII
技術文件清單
|
文件項目 |
具體內容 |
|
1. 產品一般描述 |
產品名稱、型號、序號;預期使用方式及預期使用者;任何版本或組合資訊; 影響基本資安要求合規的軟體版本; 硬體產品帶有數位元素時,須以相片、圖示呈現外顯特性、標誌及內部構造 |
|
2. 設計及開發文件 |
產品架構設計圖(含軟硬體元件、數位元素及介面說明),內建或外加軟體元件與產品互相作用過程; SBOM(軟體物料清單),如:硬體晶片、作業系統、第三方程式庫; 安全需求規格書 開發過程中採用的安全標準或規格; 協調妥切的漏洞揭露政策; 提供明確的漏洞通報聯絡地址; 數位元素在產品生產與監督過程的資訊,及過程確證; |
|
3. 網路資訊安全風險評鑑 |
帶有數位元素的產品(設計、開發、生產、交付及維修皆屬之)的事項: 威脅識別與分析(Threat
Modeling); 相關漏洞清單(CVE
資料庫比對); 風險評鑑方法學; 已採取的風險減緩措施; 宣稱的支援期間; 缺陷修復時間表(SLA
for patching) 應急回應計畫(Incident
Response Plan) |
|
4. 測試與驗證文件 |
部分或全部適用的2019/881條例的調和標準列表,包括另行採用的其他調和標準; 按照CRA附錄I第2部份的基本資安要求適用項目而執行的資訊安全符合性測試匯總事項; 測試方法及結果; 滲透測試報告(如有); 漏洞掃描結果 |
|
5. 符合性評鑑程序文件 |
所使用的模組及相關文件;調和標準清單及適用性說明; EU DoC符合性聲明副本 第三方驗證證書(如適用時) |
|
6. 漏洞處理政策 |
CVD 政策文件;支援期間聲明;安全更新的發布流程及渠道 |
|
7. 使用者資訊(附錄II) |
使用說明、使用資訊,隨附文件等的樣式及內容(草稿); 安全配置說明,如:變更預設密碼 安裝與設定指引 更新方法與支援期限 |
實務建議:採用 ISO/IEC 81001-5-1:2021 標準建立文件架構,有利於跨法規管轄區域的統籌與整合。
8.3 亞洲企業的常見缺漏
●
SBOM 缺失:許多亞洲製造商的開發流程中缺乏系統性的第三方元件管理,無法快速識別哪些產品使用了存在漏洞的開源元件
●
威脅模型(Threat Model)不完整:常見的應付性文件流於形式,未反映產品實際使用場景
●
支援期間未聲明:未明確標示製造商承諾提供更新的時間長度
●
技術文件無版本管理:文件未隨產品更新而同步更新,導致與實際產品不符
8.4 關於原始碼要求的謠言澄清
❌ 廣泛在業界流傳的謠言:CRA條例要求所有製造商及早便將軟體原始碼交付給歐盟主管機關
✅ 事實查核:CRA條例明確禁止主管機關要求預先提交軟體原始碼。只有在以下三個條件全部符合的非常狹礙狀況下,才可以要求製造商提供軟體原始碼(參見EU 2016/943企業資訊(營業祕密)保護指令)§5:
1. 已經有具體證據顯示產品及數位元素存在嚴重的高風險漏洞;
2. 製造商拒絕說明漏洞的性質;
3. 製造商拒絕提供軟體的補丁程式;
CRA條例同時要求主管機關對於取得的軟體原始碼負有嚴格的保密義務(參見CRA §63.1(a))。此項議題仍然存在重大爭議,批評者認為保密義務缺乏有效的執行保障。
第九章 使用資訊(附錄 II)
9.1 使用資訊的法律要求
CRA
附錄II 要求製造商提供清晰的使用資訊,讓消費者和使用者能夠安全使用產品並了解其網路資訊安全特性。這些資訊必須以書面形式(可為電子格式)隨產品提供,且必須以目標市場成員國的官方語言呈現。
9.2 附錄 II 必要資訊項目
●
製造商名稱、商標、聯絡地址(或授權代表資訊)
●
產品唯一識別碼:型號名稱、批號或序號
●
預期使用方式簡述
●
安全相關功能說明(如加密、身份驗證機制)
●
已知的安全相關限制或需使用者操作的安全設定
●
支援期間:明確說明製造商承諾提供安全更新的期限(年份或具體日期)
●
提交漏洞或安全問題通報的聯絡方式(CVD 聯絡管道)
●
使用終止(End-of-Life)後的安全建議
●
EU 符合性聲明連結或 QR 碼
對亞洲品牌的實務建議:許多亞洲品牌目前習慣在產品說明書中省略安全相關的技術細節。CRA 要求的「支援期間」聲明在消費市場具有高度差異化意義,明確承諾 5 年安全更新的品牌,相較競爭對手將具備顯著的市場優勢。
第十章 符合性評鑑與第三方稽核(附錄
VIII)
10.1 符合性評鑑模組體系
CRA
採用歐盟新方法(New Approach)法規架構下的模組型式(modular)符合性評鑑制度,依產品風險等級選擇適用模組:
|
模組 |
名稱 |
適用對象 |
說明 |
|
Module A |
製造商自我評估 |
一般產品(非 附錄III/IV) |
製造商自行建立技術文件、執行符合性評鑑並簽署
EU DoC,無需第三方介入 |
|
Module B |
EU 型式審查 |
重要產品
Class I & II(部分) |
公告機構審查技術文件並對代表性樣品進行測試,頒發
EU 型式審查證書 |
|
Module C |
基於
EU 型式審查的符合性 |
搭配
Module B 使用 |
製造商確認每批生產的產品與已審查型式一致 |
|
Module H |
完全品質保證 |
重要產品
Class II(替代選項) |
公告機構審查及稽核製造商的整個設計、開發及生產
QMS 系統 |
|
特定認證 |
歐盟網路資訊安全驗證 |
關鍵產品(附錄IV) |
依歐盟網路資訊安全驗證架構(EUCS)取得認證,可替代
Module B+C |
10.2 公告機構(Notified
Body),
公告機構(NB)是由成員國政府認可、具備特定技術能力的第三方符合性評鑑機構。見CRA第四章(§35-51)的必要資格與申請程序。以2026年3月底止,歐盟各成員國正處於「指定通報機關
(Notifying Authorities)」與「評估驗證機構申請」的巔峰期。按照規劃時程,2026年6月11日,驗證機構正式可於歐盟NANDO官網的資料庫上架;意即各成員國屆時須通知歐盟,各國審查通過的CRA公告機構的全部資料,包括下列事項,參見CRA 附錄八
(Annex VIII):
|
項目 |
內容 |
|
法律獨立性 |
屬於第三方機構,不得與所評鑑的PDE產品(研發、製造、供應)有任何利益關聯。 |
|
技術能力 |
必須具備評估 PDE或ICT 產品網路資訊安全的風險、程序代碼稽核、滲透測試及漏洞管理流程的專業能力。 |
|
人員資格 |
審核員須具備網路資訊安全專業證照,如:CISSP, CCSP,
CISA,及至少 3-5 年的資安開發或稽核經驗。 |
|
責任保險 |
必須投保與其業務風險相稱的第三者民事責任保險。 |
2026年3月的歐盟市場,可以觀察到公告機構指定過程可能面臨以下挑戰:
l 調和標準 (Harmonized Standards) 滯後:
CEN/CENELEC/ETSI 的標準(如 prEN 18031 系列)若未能如期完成,公告機構需依據「共同規範 (Common Specifications)」審核,增加作業複雜度。
l 專業人才荒: 同時具備「軟體安全工程」與「合規稽核」背景的資安專家極度短缺。
l 行政積壓: 成員國受理公告機構的主管機關在面對大量申請(因其業務範圍亦包含人工智慧法AI Act 與 CRA條例)時,審核進度預期出現狹窄瓶頸現象。
潛在可能申請及獲得CRA條例驗證資格的主要公告機構,推測可能包括下列組織:
●
BSI:德國聯邦資訊安全局,亦作為德國技術審查機構;
●
TÜV SÜD、TÜV Rheinland、TÜV Nord(德國):此三大TÜV集團在歐盟擁有深厚的產品安全法規驗證背景(如:RED, MDR),且擁有強大的工業與消費型產品資訊安全實驗室,預計將積極申請CRA條例相關認證及許可。
●
SGS(瑞士):全球布局,組織內設有歐盟公告機構及執行相關業務,具備測試 ICT 硬體/軟體/韌體安全性的成熟基礎設施。
●
Secura / Bureau Veritas(荷蘭、法國):專精於網路資訊安全測試,是歐盟推動網路資訊安全認證 (CSA) 的核心參與者。
●
DEKRA(德國):深耕車聯網與物聯網資訊安全,早已佈局 CRA 條例預評鑑服務。
●
BSI (British Standards Institution) (英國): 雖然受到英國脫歐影響,但其歐盟子公司在網路資訊安全標準制定上佔據領導地位。
重要提示:目前全歐 CRA 公告機構資源緊缺,尤其是具備網路資訊安全專業能力的評估人員。建議亞洲製造商在 2025-2026 年間儘早聯繫公告機構,預約評估時段,否則可能面臨 2027 年截止日前的排隊等候審查期較長等問題。
10.3 CE
標誌符合法規路徑總覽
|
步驟 |
行動 |
負責方 |
|
1 |
確認產品是否屬於
CRA 範圍(適用性評估) |
製造商/法律顧問 |
|
2 |
依風險等級分類: 一般產品:自我宣告合規 Class I/Class II:須產品測試及相關驗證 關鍵產品:須第三者公告機構驗證 |
製造商/顧問 資安測試實驗室 公告機構 |
|
3 |
識別適用的調和標準 |
製造商/技術顧問 |
|
4 |
執行安全設計及開發(符合 附錄I) |
製造商研發團隊 |
|
5 |
建立技術文件(附錄VII) |
製造商(含
SBOM) |
|
6 |
執行符合性評鑑(Module
A 或
B+C / H) |
製造商或公告機構 |
|
7 |
簽署
EU 符合性聲明(EU
DoC) |
製造商 |
|
8 |
加貼
CE 標誌及標示 |
製造商 |
|
9 |
註冊電子平台(待建置) 歐盟將建立「數位產品登記系統」(Digital
Product Registry) 提供產品識別碼(PID)、聯絡窗口、更新狀態 |
製造商 |
|
10 |
建立漏洞監控及通報機制(持續義務) |
製造商 |
