EU Cyber Resilience Act(CRA)
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3
|
適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
目錄索引
此份心得整理旨在以深入淺出的方式,全面解析歐盟CRA條例,分成十八章,涵蓋歐盟 CRA條例的立法背景、法律架構、適用範圍、關鍵術語、產品分類、技術文件、符合性模組和程序、市場監督、處罰機制、國際比較及實務指引等面向,結合亞洲企業視角進行比較分析;幫助讀者掌握這場正在重塑全球資訊科技與法規治理攀比較勁角力格局的重大變革。
|
章節 |
標題 |
頁碼(參考) |
|
第一章 |
立法背景與歷史沿革 |
3 |
|
第二章 |
法律架構與主要規範架構 |
4 |
|
第三章 |
更正文件
B/C1/C2/C3 說明 |
5 |
|
第四章 |
關鍵術語與定義 |
5 |
|
第五章 |
適用範圍與排除產品 |
7 |
|
第六章 |
附錄
III & IV — 重要及關鍵產品分類 |
9 |
|
第七章 |
經濟營運者的義務與責任 |
10 |
|
第八章 |
技術文件(附錄
VII) |
12 |
|
第九章 |
使用資訊(附錄
II) |
13 |
|
第十章 |
符合性評鑑與第三方稽核(附錄
VIII) |
13 |
|
第十一章 |
調和標準與產品測試 |
14 |
|
第十二章 |
主管機關與市場監督 |
15 |
|
第十三章 |
安全保障機制 |
16 |
|
第十四章 |
處罰規定 |
16 |
|
第十五章 |
歐洲PDE產品策略佈局 |
17 |
|
第十六章 |
市場規模與就業人口展望 |
18 |
|
第十七章 |
國際比較:美/英/瑞/日/中 |
19 |
|
第十八章 |
風險評估、陷阱與改善建議 |
21 |
|
附錄 |
文獻參考 |
23 |
第一章 立法背景與歷史沿革
1.1 問題的起源:為什麼需要 CRA?
想像一個場景:您剛購入一台連網智慧音箱,設置完成後靜靜地放在客廳。然而,幕後的駭客早已透過製造商從未修補的漏洞,悄悄監聽您的對話,甚至入侵同一網路上的電腦、門鎖與家電。這並非科幻情節,而是過去十年中在全球頻繁發生的真實威脅。
歐盟委員會(European Commission)在 2022 年的評估報告中指出:歐盟市場上有超過一半的連網硬體產品從未收到製造商提供的安全更新;其中,消費性 IoT 設備(物聯網裝置)因價格競爭激烈,製造商往往在產品上架後便停止提供軟體支援。主要觸發原因是2021年Log4j大規模漏洞事件,該事件暴露了全球數位供應鏈幾乎完全沒有任何責任機制的狀況。根據 ENISA(歐洲網路資訊安全局)統計,2021 年至 2022 年間,歐盟境內每年因網路攻擊造成的直接損失超過 5,000 億歐元,其中有顯著比例源自具有已知、未修補漏洞的PDE產品,其中近六成涉及「預設弱密碼」、「未修補漏洞」或「缺乏安全更新機制」等本可提前預防的資訊安全狀況。
更嚴重的是,一旦關鍵基礎設施(如:區域電力網、飲用水處理系統、交通控制中心)使用的設備存在資安缺陷,可能導致大規模基礎架構停擺甚至引發更大範圍的公共危機。
在歐盟,一項具有里程碑意義的新法規——《網路韌性法》(Cyber Resilience Act, 簡稱 CRA),於 2024 年正式通過並頒布為EU Regulation 2024/2847,並陸續發布了多項文字調整和技術性修正案(Corrigenda B、C1、C2 和 C3)(已納入前述歐盟官網CRA版本),以確保該歐盟條例在各成員國官方語言呈現的條文清晰程度與執行過程的一致性。
1.2 立法里程碑
|
時間點 |
重要事件 |
|
2020年12月 |
歐盟發布《EU
網路資訊安全策略》,首次提出對數位產品設立網路資訊安全基準要求 |
|
2022年9月 |
歐盟委員會正式提出
CRA 草案(COM(2022)454) |
|
2023年7月 |
歐洲議會與理事會達成政治協議,納入開源軟體除外條款 |
|
2024年3月 |
歐洲議會以壓倒性多數通過最終版本 |
|
2024年10月 |
歐盟理事會正式採納 |
|
2024年11月20日 |
刊載於歐盟官方公報(OJ
L 2024/2847) |
|
2024年12月10日 |
正式生效(Entry
into Force) |
|
2026年6月11日 |
符合性評鑑機構通報規定開始適用 |
|
2026年9月11日 |
漏洞主動地利用通報義務開始適用 |
|
2027年12月11日 |
全部核心義務全面適用 |
1.3 立法的政治背景
CRA條例是歐盟數位十年戰略的核心支柱,其誕生背後有深刻的政治邏輯。歐盟長期以來在數位產品的市場准入規範上奉行「最低限度調和」原則,導致各成員國標準不一,形成監管套利空間(regulatory
arbitrage)。部分亞洲製造商為了降低成本,刻意選擇符合標準最寬鬆的國家作為歐盟的首個市場進入點。CRA條例定位在「水平橫跨條例」(horizontal
regulation),正是為了打破這一困境,無論產品在哪個成員國上市,所有數位產品都必須達到相同的網路資訊安全基準。
此外,俄烏戰爭爆發後,歐盟迅速認識到工業控制系統(ICS)、關鍵基礎設施(critical infrastructure)的網路資訊安全脆弱性,進一步強化了立法的政治意志。CRA 因此在推進速度上遠超過一般歐盟立法程序,從提案到正式通過僅歷時約兩年。
很多批評者和支持者都同意,CRA條例遠遠不僅止於技術性的安全條例,這是歐盟一個非常明確的產業戰略決策:
l 歐盟體認到自己幾乎完全依賴歐盟境外製造商供應幾乎所有的數位硬體和軟體;
l 歐盟認為傳統的貿易法規已經不足以管理數位產品的風險;
l CRA條例刻意設計成為可以對全球供應鏈行使管轄權的架構;
l 同時歐盟也公開表示預期CRA條例將會和當年的《通用資料保護條例》(GDPR 2016/679)一樣,成為全球的實務標竿。
歐盟的數位產業戰略本身也是CRA條例最具爭議的部分,支持者認為這是保護消費者唯一可行的方法,批評者認為這是貿易保護主義。
第二章 法律架構與主要規範架構
2.1 CRA 的法律性質:定位在條例(Regulation)而非指令(Directive)
在開始說明CRA條例之前,有必要先解釋三個歐盟法律體系的基本原則。幾乎所有關於CRA條例的誤解,多半可以歸根於讀者從自己國家的法律體系類比到歐盟法規體系:
1. 歐盟立法原則:關鍵差異在歐盟有兩種主要立法工具:「指令」(Directive)與「條例」(Regulation)。指令是種架構要求,各成員國須在指定期限內自行制定且轉換為國內法加以落實;而條例則是「直接適用」(directly
applicable),一旦在歐盟官方公報(EU Official
Journal)發布,20個日曆日後,便自動在所有 27 個成員國同步生效,無需個別成員國另行轉化為國內法。CRA 的法律位階定位在條例,便意味著無論是在德國、法國、荷蘭還是捷克,企業所面對的法律條文雖然是該成員國的官方語言,但法律本體、經濟營運者的義務及產品責任,在整個歐盟境內完全相同。
2. CRA條例是產品責任法(product
liability),不是網路管制法:此類型條例的約束對象,一貫地是把產品放到歐盟市場的人(如經濟營運者的私人或法人),不會向一般個人使用者(如一般消費者)設定約束。
3. 歐盟新立法架構(New Legislative
Structure)原則:並不是「政府審核通過就免責」的單純概念。所有法律設定的經濟營運者義務及產品責任,皆須由經濟營運者承擔,政府僅係保持行政管理、事後監督和依法處罰的權力。就算營運者已經完成所有法定驗證事項,主管機關仍然可以基於新浮現的危害或風險措施,即時地做出整體性評估;而一旦認定營運者的產品不符合條例或法規要求,即可做出相應的處置。
