EU Cyber Resilience Act(CRA)
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3
適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
第四章 關鍵術語與定義(Keywords
& Definitions)
CRA
建立了一套專有術語體系,理解這些術語是掌握該條例的前提。以下將重要術語分組解說:
4.1 核心主體辭彙及定義
|
術語(中文) |
術語(英文) |
定義說明 |
|
§3(1) 具數位元素的產品 |
Product with Digital Elements(PDE) |
任何直接或間接與其他裝置或網路存在邏輯或實體連接的軟體或硬體產品,包含其遠端資料處理方案,包括係稱軟體或硬體元組件乃另行放入市場。這是
CRA 的核心監管對象。 註:PDE是法規詞彙,強調「功能性」而非「形態」,毋與(digital product)混淆。 |
|
§3(2) 遠端資料處理方案 |
Remote Data Processing Solution |
由製造商設計並負責、在產品核心功能中不可或缺的雲端或後端服務,與硬體/軟體一同被視為
PDE 的一部分 |
|
§3(13) 製造商 |
Manufacturer |
以自身名義或品牌設計、開發或生產
PDE 並放入市場的自然人或法人,包括修改開源軟體。即使外包生產行為,對外承擔責任者仍是製造商。 |
|
§3(15) 授權代表 |
Authorised Representative |
凡是位於歐盟境外的製造商都必須書面指定歐盟境內法定代理人,在歐盟境內為製造商執行特定任務的自然人或法人(通常是進口商或法律代理服務商) |
|
§3(16) 進口商 |
Importer |
在歐盟境內設立、將歐盟境外製造的
PDE 放入市場的自然人或法人 |
|
§3(17) 分銷商 |
Distributor |
在供應鏈中提供
PDE 的自然人或法人,但不包括製造商或進口商 |
|
§3(14) 開源軟體管理者 |
Open-Source Software Steward |
以非商業方式提供自由及開源軟體的非營利法人;此類主體具有特殊法規地位,義務較輕 |
|
§3(30) 重大修改 |
Substantial Modification |
對已上市產品的修改,可能影響其符合基本要求或導致預期使用方式改變,須視為新產品重新評鑑 |
4.2 技術概念術語及定義
|
術語(中文) |
術語(英文) |
定義說明 |
|
資訊安全設計 |
Secure by Design |
在產品設計初期即將資安要求納入產品生命週期的每一個階段考量,而非在開發完成後才「外掛」安全功能,乃至發生事件後急忙補救。此係CRA
附錄I Part
I 的核心原則。 參見ISA/IEC
62443-4-1 註:歐盟法規首次將「資訊安全設計」原則強制應用於廣泛類別的數位產品,無論其是否屬於關鍵基礎設施; 例如:預設關閉遠端存取、最小權限原則、加密傳輸等; |
|
預設資訊安全 |
Secure by Default |
產品出廠時的預設配置必須已達到最高合理安全水準而無需使用者進行額外的複雜設定,例如: 預設關閉不必要功能 不使用預設通用密碼 預設開啟自動安全性更新(並提供易用的退出機制) 遵循「最小功能原則」 參見ISA/IEC
62443-3-3 |
|
§3(39) 軟體物料清單 |
Software Bill of Materials (SBOM) |
列出產品中所使用的所有軟體元件、嵌入式程式碼、移動應用、函式庫及其版本、雲端服務介面的清單,用以識別已知漏洞。CRA
要求製造商維護
SBOM 註:不限於獨立銷售的軟體,連 BIOS 或驅動程式都包含在內 |
|
§3(40) 漏洞 |
Vulnerability |
產品或系統中可能被攻擊者利用的設計弱點、缺陷或錯誤配置; 註:不僅限於已經公開的漏洞;如:緩衝區溢出、SQL 注入、弱驗證機制等; |
|
§3(42) 已知利用漏洞 |
Actively Exploited Vulnerability |
已確認遭駭客或惡意行為者實際利用的漏洞,須在
24 小時內向
ENISA 及相關
CSIRT 通報(2026年9月11日起適用) |
|
協調式漏洞揭露 |
Coordinated Vulnerability Disclosure(CVD) |
製造商建立公開管道,讓安全研究人員能以負責任的方式回報漏洞,製造商並應在合理時間內修補並公開揭露 參見EU
2022/2555, §12(1) |
|
網路資訊安全事件 |
Cybersecurity Incident |
已發生或潛在的違規事件(incident),可能導致資料外洩或功能失效,如遭受
DDoS 攻擊、帳戶盜用;足以對
PDE 安全性(包括系統安全)產生實際重大負面影響的事件,須向相關主管機關通報 參見BSI
TR 03183-1 |
|
攻擊面 |
Attack Surface |
是指一個環境中,未經授權的使用者(攻擊者)可能進入、嘗試輸入數據或提取數據而攻擊系統的所有潛在入口點的集合 |
|
最小權限原則 ISA/IEC 62443, §3.1.31 |
Principle of Least Privilege |
系統元件只應具備完成其功能所必要的最小權限,不超出必要範圍 參見ISA/IEC
62443-3-3的「最小功能」(Least
Functionality) |
|
§3(20) 支援期間 |
Support Period |
製造商承諾提供安全更新的時間長度,最短應與產品預期使用壽命相符,建議不少於五年 |
|
§3(25) 合理可預見的誤用 |
reasonably foreseeable misuse |
即使使用者明顯違反說明書修改產品,如果此種行為是製造商可以預見的,製造商仍然承擔相關的法定責任 |
4.3 法規程序術語及定義
|
術語(中文) |
術語(英文) |
定義說明 |
|
§3(31) CE 標誌 |
CE Marking |
表示產品符合所有相關歐盟法規要求的標誌。CRA
適用產品在 2027年12月11日後必須加貼 |
|
§3(27) 符合性評鑑 |
Conformity Assessment |
製造商或第三方機構驗證產品是否符合基本要求的正式程序 |
|
§3(29) 公告機構 |
Notified Body(NB) |
由成員國政府認可並通知歐盟委員會,有權對
Class II 及關鍵產品執行第三方符合性評鑑的機構 |
|
§27 推定符合性 |
Presumption of Conformity |
若產品符合調和標準或歐盟網路資訊安全驗證,即推定其符合對應的
CRA 基本要求 |
|
§31 技術文件 |
Technical Documentation |
製造商依 附錄VII 要求建立並維護的完整文件集,涵蓋產品設計、開發、風險評估等資訊,須保存
10 年 |
|
§28 歐盟符合性聲明 |
EU Declaration of Conformity(EU DoC) |
製造商正式宣告其產品符合所有適用歐盟法規要求的書面文件 |
|
§3(33) 市場監督機關 |
Market Surveillance Authority(MSA) |
成員國政府指定的主管機關,負責監督市場上的
PDE 是否符合
CRA |
|
§3(51) CSIRT |
Computer Security Incident Response Team |
電腦安全事件應變小組,依
NIS2 各成員國設立,為
CRA 漏洞通報的接收窗口之一 |
第五章 適用範圍與排除產品
5.1 適用的核心條件(§2(1))
CRA
適用於以下三要件同時滿足的產品:
1.
帶有數位元素,具備直接或間接的邏輯連接或實體連接能力,能連接至其他裝置或網路;
2.
在歐盟市場上「提供到市場」(made available on the market);
3.
預期使用方式或合理可預見的使用方式包含上述連接功能;
這三個條件的適用領域極為廣泛,涵蓋各式各樣產業的實體及硬體產品:智慧家電(智慧冰箱、電視、音箱)、智慧玩具、工業用 IoT 裝置、路由器、防火牆,與配套或獨立軟體產品、作業系統、密碼管理器、手機應用程式、嵌入式軟體、雲端後端服務(作為 PDE 的一部分)等,包括產品出貨之後推送的所有軟體更新,無論其是否屬於免費軟體或免費服務。
5.2 明確排除的產品類別(§2(2) & 相關委任法規)
以下類別的產品,當管制數位元素及資訊安全的程度等同或高於CRA條例者,方得以明確排除於 CRA 適用範圍,由各自專門法規條例予以管制;但其他任何未等同或未予規定的資安責任及義務,仍然適用CRA。幾乎半數以上的製造商至今仍然不知道這個非常關鍵的細節:
重要範例:醫療器材製造商經常以為各式醫療器材完全豁免CRA,實際上MDR 2017/745, IVDR 2017/746條例只有管制病患資料安全的部分,所有關於遠端漏洞、供應鏈攻擊的部分,完全沒有被MDR或IVDR覆蓋,因此仍然需要完全符合CRA的要求。
|
排除類別 |
適用法規 |
說明 |
|
醫療器材(含
SaMD) |
Regulation (EU) 2017/745(MDR) |
包括所有
Class I 至
III 醫療器材及醫療用途軟體 |
|
體外診斷醫療器材 |
Regulation (EU) 2017/746(IVDR) |
含體外診斷軟體 |
|
民用航空產品 |
Regulation (EU) 2018/1139(EASA 基礎條例) |
適用
EASA 審定的所有機載軟體與設備 |
|
道路車輛及配件 |
Regulation (EU) 2019/2144(車輛型式認證) |
涵蓋車輛內建軟體,需符合
UN R155/R156 等車輛網路資訊安全標準 |
|
海事設備 |
Directive 2014/90/EU(MED),修訂版
2021/1206 |
依海事設備指令規管的特定船用設備 |
|
軍事及國家安全用途 |
該條例 §2(7)及相關豁免條款 |
供軍事、情報或國家安全機構使用的產品完全豁免 |
|
已完成交易的
SaaS(純服務) |
NIS2(視情況適用) |
單純服務(無附帶軟硬體
PDE 交付)原則上排除,但提供給使用者安裝的軟體仍在範圍內 |
|
特定輕型機動車輛 |
Regulation (EU) 168/2013 + 委任法規 2025/1535 |
2025年7月29日委任法規明確將
168/2013 某些類別排除於
CRA |
5.3 開源軟體的特殊地位
開源軟體(FOSS / Free and Open
Source Software, §3(48))是 CRA 立法過程中最具爭議的議題之一。最終版本採取了以下折衷立場:
●
以「商業活動」(in the course
of a commercial activity)方式提供的開源軟體:適用 CRA,如開源產品由企業包裝成商業公司產品或付費服務性質;
●
非商業性開源軟體:不屬於 CRA 的直接適用對象,但若是某企業/製造商修改了開源軟體的程式碼,整合進其產品,相關責任由整合製造商承擔;
●
開源軟體管理者(OSS Steward):介於製造商與單純貢獻者之間的新法律地位,義務限於維持 CVD 政策及提供基礎聯絡資訊,不承擔製造商的全部義務,且依 C3 更正文件享有罰款豁免;但若是企業主動提供商業支援服務,可能視為「商業活動」之一。
●
若遵循前述條件,然而開源軟體的相關營業額超過100萬歐元,即成為CRA 的直接適用對象。
對於亞洲企業而言,若您使用開源元件整合於商業產品(例如在路由器韌體中使用 OpenWRT,或在工業設備中嵌入 Linux),您仍是 CRA 意義下的「製造商」,必須管理這些開源元件的已知漏洞,並維護 SBOM。
