荷蘭阿姆斯特丹(Amsterdam)概述

阿姆斯特丹（Amsterdam）是荷蘭的首都與最大城市，位於北荷蘭省，人口約93萬（截至2024年6月）。它被譽為「北方威尼斯」，擁有廣闊的運河系統，已被聯合國教科文組織列為世界遺產。該市起源於1275年左右，從一個小漁村發展成17世紀荷蘭黃金時代的全球港口，成為金融、貿易與藝術中心。如今，阿姆斯特丹是多元文化城市，擁有約180個國籍的居民，以其歷史運河、博物館與自由文化聞名，包括紅燈區與大麻咖啡館。它也是金融與文化樞紐，擁有世界上最古老的證券交易所，每年吸引數百萬遊客。

CC BY-SA 4。0。
內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。

歷史發展：從過去到現在

史前與創建：阿姆斯特丹地區原本是潮濕的泥炭地，早在三千年前就有沿著史前IJ河與阿姆斯特河（Amstel）的聚落。1170年的萬聖節洪水使IJ河變成河口，改善排水條件。城市於1264年至1275年間在阿姆斯特河上建造堤壩而創建，1275年首次記錄，獲得荷蘭通行無稅的特權。

中世紀：到1300年，人口約1,000人，至1564年增至30,900人，受益於與漢薩同盟的貿易及鯡魚漁業創新，成為散裝貨物的主要市場。1306年，老教堂（Oude Kerk）獻堂，1345年的阿姆斯特丹奇蹟使之成為朝聖地。

與西班牙的衝突：16世紀，阿姆斯特丹加入荷蘭起義，反抗西班牙統治，成為荷蘭共和國的一部分，以宗教寬容著稱，吸引猶太人、胡格諾派等移民，促進自由新聞業。

荷蘭黃金時代：17世紀，阿姆斯特丹成為西方世界最富庶城市，透過荷蘭東印度與西印度公司建立全球貿易網絡，1602年創建阿姆斯特丹證券交易所，為首個現代化證券交易所。另外也參與大西洋奴隸貿易，直至1814年。

衰落與現代化：18世紀與19世紀初因與英國和法國的戰爭而衰落，拿破崙戰爭期間達最低點。19世紀出現第二次黃金時代，建造阿姆斯特丹-萊茵運河與北海運河，工業革命促進經濟成長。

20世紀至今：一戰前擴建新郊區，但戰爭導致食物短缺與暴動（馬鈴薯暴動）。1940年納粹佔領導致超過10萬荷蘭猶太人被驅逐，包括安妮·法蘭克（Anne Frank），1941年二月罷工為著名抵抗。戰後建造新郊區如Osdorp與Bijlmermeer，都市更新包括地鐵建設，引發暴動（Nieuwmarktrellen）。2010年運河地帶（Grachtengordel）列入聯合國教科文組織遺址，近期如《阿姆斯特丹2040結構願景》聚焦再生，2015年遊客達1,700萬，引發過度旅遊擔憂。

城市與周邊的特別之處

阿姆斯特丹的城市景觀融合多種建築風格，以運河、街道與建築聞名。周邊地區包括多個行政區與港口，擴展其經濟與文化影響。著名建築與房屋的意義

老教堂（Oude Kerk, 1306年）：城市最古老建築，位於德瓦倫（De Wallen），具哥德式風格，為中世紀宗教中心。

西方教堂（Westerkerk）：由亨德里克·德·凱瑟設計，為荷蘭文藝復興代表，具階梯山牆立面。

阿姆斯特丹王宮（Royal Palace of Amsterdam）：位於達姆廣場（Dam Square），巴洛克風格，由雅各布·范·坎彭與丹尼爾·斯塔爾帕特建造，原為市政廳，現為王室宮殿，用於加冕等儀式。

國家博物館（Rijksmuseum, 1885年）：收藏荷蘭黃金時代藝術，包括倫勃朗的《夜巡》，由P.J.H. Cuypers設計，為哥德復興風格。

梵谷博物館（Van Gogh Museum）：專注文森·梵谷，由格里特·里特費爾德設計，現代擴建由黑川紀章負責。

市立博物館（Stedelijk Museum, 1895年）：聚焦現代藝術，近期有「浴缸」擴建。

安妮·法蘭克之家（Anne Frank House）：保存安妮·法蘭克藏身處，為大屠殺紀念館，象徵二戰猶太人迫害。

音樂廳（Concertgebouw）**：以聲學著名，為皇家音樂廳管弦樂團駐地，建於19世紀晚期。

海事博物館（Het Scheepvaartmuseum）：聚焦海事歷史，反映阿姆斯特丹港口遺產。

新教堂（Nieuwe Kerk）：位於達姆廣場，用於王室儀式。

奧林匹克體育場（Olympic Stadium）：為1928年夏季奧運建造，已修復用於文化與體育活動。

斯托佩拉（Stopera）：容納市政廳與歌劇院，現代建築，位於阿姆斯特河附近。

這些建築不僅具歷史意義，還反映城市在貿易、藝術與抵抗中的角色，如安妮·法蘭克之家象徵人性與記憶。

運河與水道

阿姆斯特丹的運河系統是17世紀運河環區的核心，2010年列入聯合國教科文組織遺址。著名運河包括：

王子運河（Prinsengracht）：舉辦年度王子運河音樂會。

阿姆斯特河（Amstel）：由馬格雷橋（Magere Brug，瘦橋）橫跨，為著名吊橋。

皇帝運河（Keizersgracht）：主要運河邊街道，與電車整合。

IJ湖：北方水域，由渡輪連接阿姆斯特丹北區，用於貿易與休閒。

這些運河用於節慶如阿姆斯特丹同志驕傲遊行運河遊行，體現歷史水資源管理與貿易路線。

街道與巷弄

城市街道與巷弄是中世紀與黃金時代遺產的核心，包括狹窄巷道與歷史街道。

萊登廣場（Leidseplein）與倫勃朗廣場（Rembrandtplein）：夜生活中心，滿布咖啡館、餐廳與迪斯科。

藍橋（Blauwbrug）：位於阿姆斯特河上，連接斯托佩拉。

褐色咖啡館（Brown Cafés）：傳統氛圍街道咖啡館，提供荷蘭文化體驗。

這些街道整合運輸與生活，貢獻中世紀魅力。

周邊地區與特色

阿姆斯特丹周邊包括多個行政區與大都會區，人口超過233萬，形成蘭斯塔德（Randstad）一部分。

阿姆斯特丹北區（Amsterdam-Noord）：橫跨IJ湖，由渡輪連接，具現代發展。

阿姆斯特丹東南區（Amsterdam-Zuidoost）：擁有約翰·克魯伊夫競技場（Johan Cruyff Arena），AFC阿賈克斯足球隊主場。

阿姆斯特芬（Amstelveen）：附近市鎮，擁有瓦格納體育場（Wagener Stadium），曲棍球隊駐地。

阿姆斯特丹港口（Port of Amsterdam）：位於西港區，為重要經濟特色，支持歷史與現代貿易。

附近市鎮如贊斯塔德（Zaanstad）與沃默蘭（Wormerland）：擴展城市網絡，強調區域連通性。

(全文竟)

歐盟《網路韌性法》初探（八之一）

EU Cyber Resilience Act（CRA）
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3

適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員，具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。

目錄索引

此份心得整理旨在以深入淺出的方式，全面解析歐盟CRA條例，分成十八章，涵蓋歐盟 CRA條例的立法背景、法律架構、適用範圍、關鍵術語、產品分類、技術文件、符合性模組和程序、市場監督、處罰機制、國際比較及實務指引等面向，結合亞洲企業視角進行比較分析；幫助讀者掌握這場正在重塑全球資訊科技與法規治理攀比較勁角力格局的重大變革。

章節	標題	頁碼（參考）
第一章	立法背景與歷史沿革	3
第二章	法律架構與主要規範架構	4
第三章	更正文件 B/C1/C2/C3 說明	5
第四章	關鍵術語與定義	5
第五章	適用範圍與排除產品	7
第六章	附錄 III & IV — 重要及關鍵產品分類	9
第七章	經濟營運者的義務與責任	10
第八章	技術文件（附錄 VII）	12
第九章	使用資訊（附錄 II）	13
第十章	符合性評鑑與第三方稽核（附錄 VIII）	13
第十一章	調和標準與產品測試	14
第十二章	主管機關與市場監督	15
第十三章	安全保障機制	16
第十四章	處罰規定	16
第十五章	歐洲PDE產品策略佈局	17
第十六章	市場規模與就業人口展望	18
第十七章	國際比較：美/英/瑞/日/中	19
第十八章	風險評估、陷阱與改善建議	21
附錄	文獻參考	23

第一章　立法背景與歷史沿革

1.1　問題的起源：為什麼需要 CRA？

想像一個場景：您剛購入一台連網智慧音箱，設置完成後靜靜地放在客廳。然而，幕後的駭客早已透過製造商從未修補的漏洞，悄悄監聽您的對話，甚至入侵同一網路上的電腦、門鎖與家電。這並非科幻情節，而是過去十年中在全球頻繁發生的真實威脅。

歐盟委員會（European Commission）在 2022 年的評估報告中指出：歐盟市場上有超過一半的連網硬體產品從未收到製造商提供的安全更新；其中，消費性 IoT 設備（物聯網裝置）因價格競爭激烈，製造商往往在產品上架後便停止提供軟體支援。主要觸發原因是2021年Log4j大規模漏洞事件，該事件暴露了全球數位供應鏈幾乎完全沒有任何責任機制的狀況。根據 ENISA（歐洲網路資訊安全局）統計，2021 年至 2022 年間，歐盟境內每年因網路攻擊造成的直接損失超過 5,000 億歐元，其中有顯著比例源自具有已知、未修補漏洞的PDE產品，其中近六成涉及「預設弱密碼」、「未修補漏洞」或「缺乏安全更新機制」等本可提前預防的資訊安全狀況。

更嚴重的是，一旦關鍵基礎設施（如：區域電力網、飲用水處理系統、交通控制中心）使用的設備存在資安缺陷，可能導致大規模基礎架構停擺甚至引發更大範圍的公共危機。

在歐盟，一項具有里程碑意義的新法規——《網路韌性法》（Cyber Resilience Act, 簡稱 CRA），於 2024 年正式通過並頒布為EU Regulation 2024/2847，並陸續發布了多項文字調整和技術性修正案（Corrigenda B、C1、C2 和 C3）（已納入前述歐盟官網CRA版本），以確保該歐盟條例在各成員國官方語言呈現的條文清晰程度與執行過程的一致性。

1.2　立法里程碑

時間點	重要事件
2020年12月	歐盟發布《EU 網路資訊安全策略》，首次提出對數位產品設立網路資訊安全基準要求
2022年9月	歐盟委員會正式提出 CRA 草案（COM(2022)454）
2023年7月	歐洲議會與理事會達成政治協議，納入開源軟體除外條款
2024年3月	歐洲議會以壓倒性多數通過最終版本
2024年10月	歐盟理事會正式採納
2024年11月20日	刊載於歐盟官方公報（OJ L 2024/2847）
2024年12月10日	正式生效（Entry into Force）
2026年6月11日	符合性評鑑機構通報規定開始適用
2026年9月11日	漏洞主動地利用通報義務開始適用
2027年12月11日	全部核心義務全面適用

1.3　立法的政治背景

CRA條例是歐盟數位十年戰略的核心支柱，其誕生背後有深刻的政治邏輯。歐盟長期以來在數位產品的市場准入規範上奉行「最低限度調和」原則，導致各成員國標準不一，形成監管套利空間（regulatory arbitrage）。部分亞洲製造商為了降低成本，刻意選擇符合標準最寬鬆的國家作為歐盟的首個市場進入點。CRA條例定位在「水平橫跨條例」（horizontal regulation），正是為了打破這一困境，無論產品在哪個成員國上市，所有數位產品都必須達到相同的網路資訊安全基準。

此外，俄烏戰爭爆發後，歐盟迅速認識到工業控制系統（ICS）、關鍵基礎設施（critical infrastructure）的網路資訊安全脆弱性，進一步強化了立法的政治意志。CRA 因此在推進速度上遠超過一般歐盟立法程序，從提案到正式通過僅歷時約兩年。

很多批評者和支持者都同意，CRA條例遠遠不僅止於技術性的安全條例，這是歐盟一個非常明確的產業戰略決策：

l   歐盟體認到自己幾乎完全依賴歐盟境外製造商供應幾乎所有的數位硬體和軟體；

l   歐盟認為傳統的貿易法規已經不足以管理數位產品的風險；

l   CRA條例刻意設計成為可以對全球供應鏈行使管轄權的架構；

l   同時歐盟也公開表示預期CRA條例將會和當年的《通用資料保護條例》（GDPR 2016/679）一樣，成為全球的實務標竿。

歐盟的數位產業戰略本身也是CRA條例最具爭議的部分，支持者認為這是保護消費者唯一可行的方法，批評者認為這是貿易保護主義。

第二章　法律架構與主要規範架構

2.1　CRA 的法律性質：定位在條例（Regulation）而非指令（Directive）

在開始說明CRA條例之前，有必要先解釋三個歐盟法律體系的基本原則。幾乎所有關於CRA條例的誤解，多半可以歸根於讀者從自己國家的法律體系類比到歐盟法規體系：

1. 歐盟立法原則：關鍵差異在歐盟有兩種主要立法工具：「指令」（Directive）與「條例」（Regulation）。指令是種架構要求，各成員國須在指定期限內自行制定且轉換為國內法加以落實；而條例則是「直接適用」（directly applicable），一旦在歐盟官方公報（EU Official Journal）發布，20個日曆日後，便自動在所有 27 個成員國同步生效，無需個別成員國另行轉化為國內法。CRA 的法律位階定位在條例，便意味著無論是在德國、法國、荷蘭還是捷克，企業所面對的法律條文雖然是該成員國的官方語言，但法律本體、經濟營運者的義務及產品責任，在整個歐盟境內完全相同。

2.  CRA條例是產品責任法（product liability），不是網路管制法：此類型條例的約束對象，一貫地是把產品放到歐盟市場的人（如經濟營運者的私人或法人），不會向一般個人使用者（如一般消費者）設定約束。

3.  歐盟新立法架構（New Legislative Structure）原則：並不是「政府審核通過就免責」的單純概念。所有法律設定的經濟營運者義務及產品責任，皆須由經濟營運者承擔，政府僅係保持行政管理、事後監督和依法處罰的權力。就算營運者已經完成所有法定驗證事項，主管機關仍然可以基於新浮現的危害或風險措施，即時地做出整體性評估；而一旦認定營運者的產品不符合條例或法規要求，即可做出相應的處置。

（未完，見續篇）

企業合規與反賄賂管理系統整合初輯（三之三）

（續前篇）

ISO 37001:2025 及 ISO 37301:2021

適合讀者：大學以上程度｜法規、合規、反賄賂、符合性、中小企業（100人以下）實務產業界從業人員 此文僅供個人參考與資訊喚回，尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。法規內容可能隨時間修訂，具體符合決策宜諮詢專業符合性、反賄賂顧問或相關驗證機構。文中提及資料係基於公開報告及邏輯估算，實際數值可能隨時變動。參考法規資訊截至2026年3月，後續修訂請查閱ISO官方網站和歐盟資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。

8. 營運控制與反賄賂實務 (Operational Control & Anti-Bribery)

營運控制是落實 ISO 37001 條款 8 的核心。此處不僅是文件的堆砌，而是對每一筆交易的動態監管。

8.1 商業夥伴的盡職調查實作 (條款 8.2 與 Annex A.10)

對於中小企業（SME），盡職調查深度應與風險掛鉤。調查因素包含：

• 合法性查證： 檢查公司註冊文件、實益擁有人 (UBO) 資訊。
• 能力評估： 該夥伴是否具備履行合約所需的實際資質與經驗？(Annex A.10.3)
• 紅旗信號識別： 夥伴是否堅持在「稅務天堂」付款？是否要求支付異常高額的佣金？是否拒絕簽署反賄賂承諾書？

8.2 財務控制：職能分離的藝術 (條款 8.3 與 Annex A.11)

即使只有 50 人的公司，也應遵循「三權分立」原則：

1. 發起人： 業務人員提出採購或付款申請。
2. 審核人： 部門主管或符合法規人員確認必要性。
3. 執行人： 財務人員核對單據後匯款。 禁止同一人完成從「採購申請」到「款項支付」的全流程。

8.3 非財務控制：透明的採購流程 (條款 8.4 與 Annex A.12)

• 三方比價原則：除非有充分理由，否則重大採購應至少有三家供應商參與。
• 決策委員會制：對於高價值的合同授予，應由至少兩人共同簽字，以減少單一決策者的腐敗機會。

8.4 禮品、招待、捐贈與類似利益 (條款 8.7 與 Annex A.15)

企業應制定具體的「限額清單」。例如：

• 日常招待：單人餐費不超過新台幣 2,000 元，且需記錄在案。
• 敏感時機：在投標、談判期間，嚴禁接受任何形式的招待。
• 慈善捐贈：必須確保受贈方為合法的公益組織，嚴防捐贈成為賄賂公職人員家屬的掩護（Annex A.15.4）。

連接語：制度再嚴密也難免出現偏差，如何識別並矯正偏差決定了系統的生命力。

圖一：實務可行性評估

9. 實例分析、常見失誤與矯正措施 (Case Study & Corrective Actions)

9.1 案例分析：Facilitation Payments 的紅線 (Annex A.2.2.1)

某 50 人規模的電子組裝廠在拓展新南向市場時，面臨海關人員索取「加班費」以加快清關。該廠負責人認為這是當地常態（便利支付），遂予以支付。在 ISO 37001 架構下，此種行為係視為「賄賂」，因為該行為係誘使官員履行其應盡職責。

• 矯正建議： 根據條款 10.2，企業應立即停止此支付，並修改符合法規的作業手冊。應要求員工在面臨此類要求時，要求對方提供「官方收據」，若無法提供則予以拒絕。
• 例外情形： 若官員以威脅人身安全為由索賄（勒索支付，Extortion），則人員安全優先。但在事後必須立即向符合法規職能報告並正確記錄於賬目中（Annex A.2.2.3）。

9.2 中小企業常見的三個管理失誤

1. 管理階層豁免： 制度只管基層，老闆卻可以「彈性處理」應酬，這將徹底瓦解符合法規文化。
2. 形式化盡職調查： 僅讓商業夥伴簽一份倫理聲明書，卻未核實其背後的實質利益擁有者。
3. 缺乏追蹤機制： 對於稽核中發現的異常支付，僅作口頭訓誡，未進行根本原因分析（Root Cause Analysis）。

連接語： 透過矯正措施提升韌性後，最後一步是透過正式的查證與報告為利益相關者提供信心。

10. 查證、確證方式與符合法規報告 (Verification & Reporting)

符合法規管理必須具備「可稽核性」（Auditability），即使是 100 人以下的中小企業，仍須賴此建立國際信譽的基礎。

10.1 風險導向的內部稽核 (條款 9.2)

中小企業不需要聘請龐大的稽核團隊，但必須確保稽核的「客觀性與公正性」。

• 方法建議： 採用「風險導向抽樣」。針對新進入的市場、大額訂單、以及佣金比例異常的合同進行專項稽核。稽核員必須「不能稽核自己的工作」（條款 9.2.4）。

10.2 符合法規報告的必要內容

每年度產出的符合法規報告應包含：

• 不符合項統計： 包含此前偏差事項及其矯正措施的執行現況。
• 風險評鑑更新： 特別是針對氣候變遷、利害相關或數位化工具引入後的風險變更。
• 舉報處理結果： 匿名案件的數量與處理進度（前提是保護相關人等的隱私權）。

10.3 查證 (Verification) 與確證 (Validation) 的區別

• 查證： 確認「組織是否有按規定簽名？」（過程符合法規要求）。
• 確證： 確認「目前的簽名審批流程真的能攔截賄賂嗎？」（結果有效果）。

連接語： 查證後的持續追蹤是保持系統生命力的關鍵，特別是面對標準的改版時程。

11. 後續追蹤事項與持續改進 (Follow-up & Continual Improvement)

持續改進（Clause 10.1）不是目標，而是過程。符合法規系統必須隨著業務的擴張而同步進化。

11.1 管理評審後的關鍵追蹤

在每年度的管理評審後，最高管理者應追蹤以下事項：

1. 資源充足性： 兼職的符合法規人員是否已經超越負荷界限？
2. 技術有效性： 人工智慧（AI） 監控工具是否產生過多偽陽性訊號？
3. 第三方管理： 商業夥伴的符合法規承諾是否如期履行？

11.2 ISO 37001:2025 的轉換時程 (IAF MD 30:2025)

根據國際認可論壇 (IAF) 的正式時程，企業必須注意以下關鍵節點：

• 2025年2月28日：ISO 37001:2025正式發布
• 2025 年 10 月 10 日：IAF MD 30:2025發布並生效；
• 2025 年 11 月 30 日： 驗證機構 (CB) 需向AB提交自我聲明。
• 2026 年 2 月 28 日： 認可機構(AB)完成對驗證機構(CB)的轉換決定。
• 2026 年 8 月 31 日起： 所有「初次認證」與「重新認證」稽核必須僅能採用 ISO 37001:2025。
• 2027 年 2 月 28 日： 過渡期結束的最終期限。所有ISO 37001:2016 版證書失效。
• 特別提醒： 關於氣候變遷的「修正案ISO 37001:2016/amd 1:2024」已於2024年2月發布，已併入2025年版，該版本要求組織確定氣候變遷是否為相關議題，不可等待 2027 年。

連接語： 掌握了時程後，即可對整份報告進行戰略性總結。

12. 總結 (Conclusion)

對於員工人數在 100 人以下的企業而言，建立整合的符合法規與反賄賂管理系統絕非「成本負擔」，而是一項高品質的「戰略資產」。透過將 ISO 37301:2025 的治理架構與精準控制相結合，中小企業可以向全球客戶傳遞一個明確的訊號：即便組織的體量及規模有限，但組織在誠信與專業治理上與國際標準齊頭並進。

符合法規是降低「不確定性」的唯一途徑。當企業建立了堅固的誠信 DNA，員工在誘惑面前將更有底氣，商業夥伴也將更願意建立長期且深度的合作關係。實務上給予企業經營者的最後戰略建議是：「始於高層，行於業務，重於文化」。 不要等到競爭對手都拿到了證書才開始行動，及早開始就是將符合法規轉化為競爭力的最佳時刻。

13. 引用參考文件 (References)

• ISO 37001:2025 - 反賄賂管理系統：要求及使用指南 (第 2 版)。
• ISO 37301:2021 - 合規管理系統：要求及使用指南。（參見GB/T 35770-2022）
• ISO 37001:2016/Amd 1:2024 – 增補氣候變遷修正條款。
• IAF MD 30:2025 - ISO 37001:2025 轉換要求。
• ISO 37000:2021 - 組織治理：指南。
• 聯合國反腐敗公約 (UNCAC)。
• OECD 反賄賂公約。

（本篇完）