2026年7月14日 星期二

製造商與產品的網路韌性要求 第一部分:一般要求(六之五)

BSI技術指引 TR-03183-1


適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。

此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。
CC BY-SA 4。0。


(見前篇)


5.9 RH_RT.1 - 風險處理

未被接受的風險必須被處理。處理並不代表完全消除風險,因為這通常不可能。此種處理手段的目標是根據附錄一第一部分的基本網路與資訊安全要求,實施適當的安全措施,將風險的衝擊或可能性降至可接受的水準。

附錄一的第一項基本資安要求第一部分(1)規定:「帶有數位元素的產品應設計、開發及生產,以確保根據風險達到適當的資安水準。」這表示產品設計必須根據風險進行適當的風險處理。若產品設計能妥善實施,將帶來安全的開發與生產過程及成果。

風險處理由製造商負責,並依其製程及使用標準進行。該指引將定義後續選擇需求與適當控制的策略,並可與現有標準與流程結合。

5.9.1 RH_RT.1.1 - 選擇適當的控制項(活動)


5.9.1.1 一般

製造商必須根據網路與資訊安全風險評鑑,符合附錄一第一部分(2)的適用要求。這需要根據要處理的風險,初步選擇相應的需求。如果製造商無法有效處理風險,則可採用風險分擔。

一般而言,風險處理可先獨立於附錄一第一部分(2)所列基本網路與資訊安全要求,因為產品必須根據附錄一第一部分第1部分的風險,確保適當的網路與資訊安全水準。然而,PwDE仍須符合符合CRA規定的基本要求。

該指引中選擇適當控制的具體方法將在第六章討論。

5.9.1.2 輸入
• 評估風險清單,需處理的項目
• 附錄一第一部分的基本資安要求

5.9.1.3 控制

製造商必須選擇附錄一第一部分中適用的必要網路與資訊安全要求,且適當的控制措施以處理評估出來的風險並將其降低至可接受水準,並包括產品設計中選定控制事項。

5.9.1.4 輸出
• 產品設計中將納入的選定控制事項及相關風險清單

5.9.1.5 參考CRA
• CRA附錄一 第一部分(1)
• CRA附錄一 第一部分(2)

5.9.2 RH_RT.1.2 - 風險分擔

5.9.2.1 RH_RT.1.2.1 - 與供應商的風險分擔(活動)

5.9.2.1.1 一般

如果製造商無法自行有效降低風險,則可以利用《風險分擔risk sharing》將風險降低到可接受的水準。《風險轉移risk transfer》一詞可同義使用,但通常避免使用,因為通常無法完全將風險轉讓給第三方,製造商仍需依據CRA第13條第5款在整合元件時執行盡職調查。

一般來說,有幾種方式可以與供應商分擔風險
  • 透過合規以分擔風險(與 CRA 合作):若第三方元件受 CRA 約束,製造商可在預期用途、可預見使用及相關處理風險足以整合 PwDE 時分擔風險。其他關於網路與資訊安全的法規,也可能適合用於風險分擔。
  • 透過合約以分擔風險:若無法規確保他方能共同分擔風險,製造商可透過與第三方製造商簽訂合約,以符合CRA的要求,強制執行適當的風險處理。此方法可與現有合約架構結合,如服務水準協議、基礎合約或資料處理協議。
在網路與資訊安全相關事件保險的背景下,財務風險分擔也可以被應用,但通常不是一個有效的方法來滿足網路與資訊安全要求。

注意:在整合自由開源軟體(FOSS)時,風險分擔並不常見,因為該等軟體專案通常缺乏容量、資源及法律義務來符合CRA的要求。若製造商無法妥善處理與FOSS元件相關的風險,他可能會依賴第三方作為開源軟體管理者,提供該元件的支援。這將有助於自由開源軟體的發展,並成為讓自由開源軟體在商業應用中可行的一種方式。


5.9.2.1.2 輸入
可分擔的部分風險清單

5.9.2.1.3 控制
若與第三方供應商分擔風險,製造商必須執行盡職調查,確保整合元件的製造商在法律上、合約要求或其他方面有義務並願意相應地處理風險。

5.9.2.1.4 輸出
• 分擔風險清單,包括製造商為盡職調查所採取的措施。

5.9.2.1.5 參考 CRA
• CRA附錄一 第一部分(1)

5.9.2.2 RH_RT.1.2.2 - 與使用者(活動)的風險分擔

5.9.2.2.1 一般
透過提供足夠的設定與維護指引,也能與使用者分擔風險。此時製造商必須考量使用者的能力及其基礎設施。只有當分擔的風險符合使用者可預見的預期狀況時,才算是可以做到,因為使用者在法律或合約上都沒有義務共同分擔風險。最終消費者的常見期待是 PwDE 預設是安全的,且 PwDE 的安全配置與操作只需極少使用者互動。在其他情況下,假設是專業整合商或資訊管理者,若符合使用者預期,風險可能會予以轉移。這也包括提供 多件PwDE 以整合於其他各型 PwDE 中。

5.9.2.2.2 輸入
• 選擇分享風險清單;

5.9.2.2.3 控制
若與使用者分擔風險,製造商必須確保共享風險符合用戶可預見的預期範圍,並提供充分指引,記錄風險及使用者根據第8條預期的緩解措施。

5.9.2.2.4 輸出
• 共同風險清單,包括製造商為記錄共同風險所採取的行動;

5.9.2.2.5 參考CRA
• CRA附錄一 第一部分(1);

5.9.3 RH_RT.1.3 - 實作與查證(活動)

5.9.3.1 一般


納入產品設計的選定控制措施必須相應實施,才能達到有效效果。這包括依據產品設計進行開發與生產所需的所有措施,以及查證設計對評鑑出來之風險的有效性,以及依規格正確實施的必要措施。查證是CRA符合性評鑑的一部分,並取決於所使用的模組及所實施的控制風險。有效性的查證至少應在概念層面進行,並以開發流程支持,證明製造商依設計正確開發與生產PwDE。一般而言,較高風險可能需要額外或深入的查證。

5.9.3.2 輸入
• 選定控制組清單及相關風險,將之納入PwDE設計;

5.9.3.3 控制
製造商必須實施所選定的控制措施,並根據相關風險查證其有效性與正確性。

5.9.3.4 輸出
• 已實施的控制措施清單及已進行的查證;

5.9.3.5 參考CRA
• CRA附錄一 第一部分(1);

5.10 RH_DOC.1 - 風險評鑑文件(活動)


5.10.1 一般
依據第13條第3款及第4款,網路與資訊安全風險評鑑應做成記錄並納入第31條及附錄VII所要求的技術文件中。此外,風險評鑑的文件符合製造商利益,因為結構完善且完整的文件可作為風險評鑑更新的基礎。建議使用工具或模板來記錄風險評鑑。

5.10.2 輸入
• 風險前後環節;
• 評估出來的風險;
• 分擔的風險;
• 實施控制措施;
• 適用的基本網路與資訊安全要求;

5.10.3 控制
製造商必須以完整的方式記錄風險評鑑結果。這包括風險背景、評估出來的風險(包括相應實施的控制措施與分擔的風險),以及適用的基本網路與資訊安全要求。

5.10.4 輸出
• 風險評鑑的文件化;

5.10.5 參考CRA
• CRA第13條第3款及第4款;

5.11 RH_UPD.1 - 更新風險評鑑(活動)

5.11.1 一般

網路與資訊安全風險評鑑必須依據第13條第3款在指定支援期間內適當更新。每當現有風險評鑑因威脅情境中的外部或內部變化而顯得過時,適當的更新是必要的。至少在以下事件中應做到:
• 產品更新並帶來資訊安全後續影響;
• 發現了新漏洞;
• 發現了新威脅,例如可能衝擊產品的新攻擊方法;

此外,由於並非所有相關事件都能在所有情況下監控,通常建議定期更新風險評鑑。

5.11.2 輸入
• 風險評鑑;
• 可選:影響風險前後環節的事件;

5.11.3 控制
當 PwDE 的風險前後環節改變時,製造商必須更新風險評鑑,並相應處理新的不可接受風險。

5.11.4 輸出
• 更新風險評鑑;

圖七:網路韌性、威脅與衝擊(示意圖)

5.12 決策準則

該指引將根據資產分類及PwDE的作業環境來制定決策準則。
決策準則是簡化風險分析與評估的工具,應在產業界、組織性或產品層級上給出定義。決策準則濃縮現有知識,使風險分析能進行可重現且一致的風險評鑑。
風險評鑑可在未給出設詳細決策準則的情況下進行,因為此法能提供更多風險評鑑的自由度,但可能需要付出更多努力才能完成可供理解且前後一致的風險評鑑。

5.12.1衝擊標準

事件的衝擊主要取決於受影響的資產。為了估算事件的潛在衝擊,將使用以下量表:
衝擊:
• 1 - 微乎其微後果;
• 2 - 次要後果;
• 3 - 中度後果;
• 4 - 重大後果;
• 5 - 災難性後果


衝擊是根據受影響資產及損失類型的機密性(C, confidentiality)、完整性(I, integrity)和可獲得性(A, availability),從下表衝擊準則中選擇基礎影響來估算。標準可依需調整。

基礎衝擊可能無法根據受影響資產的數量,尤其是長期衝擊或多種其他因素。若在該指引架構中使用放大率考量,尚須另外提供前後環節或使用情境的佐證理由說明。

Impact 衝擊= 基本衝擊 * 放大率

此指引區分了需要保護的資產與保護資產所需要的安全資產。

安全資產的衝擊等於對其所保護資產的衝擊,這由X'衝擊推論,其中X等於受保護資產的C、I、A。

資料資產Data Assets

資產

機密性C

整合I

可獲得A

佐證說明

個人識別資訊(PII 技術必要性

2

1

1

技術必要個人識別資訊(PII)是指與個人相關的網路通訊與認證所必需的資料,對機密性衝擊輕微,且無法在不失去功能的情況下被保護。這包括 IP 位址及其他技術識別碼

PII通用型

3

2

2

一般性PII伴有中度

對保密性的衝擊,例如姓名、地址、照片或其他

PII 重要

4

3

3

個人身份資訊(PII)對相關人士在資訊揭露時有重大衝擊。包括財務和健康資料。注意:並不包含混雜在一般的個人身份資訊(PII內的資料,因其未識別是否重要。

其他通訊傳送

1

1

1

若遙遠方式傳遞的資料不含個人識別資訊(PII)及安全相關資料,則無相關衝擊

其他構成項目

1

1

1

構成項目個人識別資訊(PII亦不涉及安全資料;

若喪失完整性,資料可能會干擾 PwDE 的功能


功能資產Functional Assets

資產

機密性C

整合I

可獲得A

佐證說明

基本功能

 

 

3

產品功能為其預期目的及可預見使用所必需的事項,且其可用性對使用者有中等衝擊

非基本功能

 

 

1

產品功能中可能屬於預期目的及可預見用途,但其可用性對使用者衝擊微乎其微,例如廣告、影片串流的額外資訊、AI 生成的提示或其他事項

功能安全

 

 

5

產品功能相關安全性,其可用性對使用者有重大衝擊

網路通訊功能

 

3

 

產品功能關聯網路可能會被竄改,並用來影響通常擁有超過兩個網路對等端的相鄰網路。

基底衝擊估計為中等,但如有需要可予以放大。

局部通訊功能

 

2

 

產品功能與鄰近節點的連線關係,通常只包含一個節點。基礎衝擊估計為低。


資訊安全資產Security Assets

資產

機密性C

整合I

可獲得A

佐證說明

資安保密

C/I

C/I

A

使用的工具api 金鑰、密碼或其他)以確保受保護資產的機密性或完整性。機密的保密性與完整性衝擊,等同於根據安全機制對受保護資產的保密性或完整性的衝擊。此點同樣適用於可用性,因為沒有密,無法執行功能或資產存取。

資安保密、網路工作項目能力

3/4

A

A

使用密(api 金鑰、密碼或其他)由 PwDE 用於網路或網路資源的認證。一般而言,機密性喪失的衝擊等同於未經授權使用揭露秘密存取受影響網路或網路資源的衝擊。對於衝擊完整網路認證的密,假設衝擊 4,對於單一網路資源,衝擊 3可以當作基準,且可根據特定使用情境調整。

資安在大眾性構成項目

1

I/C

A

資訊安全相關構成項目,其機密性喪失對受保護資產無衝擊,仍需根據受保護資產的機密性或完整性,在完整性與可用性方面受到保護。這包括例如伺服器憑證或用於密碼協商的密碼套件。

資安登錄

C

I

2

資訊安全相關登載日誌包含可能在事件發生時揭露安全相關資料,或控以隱藏事件的資訊。短期的可用性損失是次要問題。若長期無法取得與安全相關的登載日誌資料是主要問題,則可配合使用放大

資安機制

 

I/C

A

資訊安全相關的功能,需根據受保護資產的機密性、完整性及可用性,確保完整性與可用性。



(未完,見次篇)

2026年7月13日 星期一

製造商與產品的網路韌性要求 第一部分:一般要求(六之四)

BSI技術指引 TR-03183-1


適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。

此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。
CC BY-SA 4。0。


(見前篇)


5 風險導向方法

5.1 (網路與資訊安全)風險的相關性

根據CRA第13條及附錄一的第一部分,製造商應確保其產品設計、開發及生產符合附錄I第一部分所列的網路與資訊安全基本要求,並根據風險確保適當的網路與資訊安全水準。

為此;製造商應對凡是與PwDE相關的(網路與資訊安全)風險進行評鑑,並在產品規劃、設計、開發、生產、交付及維護階段(包含數位元素)中納入考量,以透過預防事件及降低(網路與資訊安全)衝擊來降低網路與資訊安全風險。

此處提供的方法為建立適合CRA涵蓋產品的網路與資訊安全層級,並使製造商能在整個產品生命週期中盡職運用,並依其特定使用情境採取適當的措施與流程。

風險評鑑係在不同應用情境中受到廣泛採用,因為每個決策本身就有風險。就該指引的範圍而言,「風險」一詞始終針對網路與資訊安全,目標是將對 PwDE、使用者、前後環節及連接至 PwDE 的網路的風險降低至可接受的水準。

法規中所述的「最小化minimizing」一詞不會在此份指引中予以使用,因為一般情況而言,將相關風險降至最低並非目標,這通常不可行,也非適當處理風險所必需。

5.2 風險術語/詞彙說明

風險評鑑時會使用資產、(網路與資訊安全)威脅、(網路與資訊安全)風險及(網路與資訊安全)事件」等詞彙。

資產Asset:資產是指所有值得保護且由PwDE創造、處理、儲存或以其他方式影響的資產。這些內容可包括由PwDE產品所創造、傳輸、儲存或以其他方式處理的資料、PwDE產品提供、使用或影響的網路資源、實體或其他資產,以及PwDE產品本身的完整性與正常運作,以及PwDE產品使用者的隱私、安全與健康,以及所有受PwDE影響者。

(網路與資訊安全)事件Incident:根據CRA第三條,事件「是指對網路及資訊系統安全造成實際不利影響的任何情況」。接著(資安)事件發生的是指單一與資訊安全相關的情況,對PwDE的資產安全產生不利影響。

(網路與資訊安全)威脅Threat:根據CRA第三條,威脅指「任何可能損害、干擾或以其他方式不利衝擊網路與資訊系統、系統使用者及其他人的潛在情況、事件或措施」。威脅僅會認定存在事件的潛在可能性,並不包括威脅的可能性與潛在衝擊。這種衍生表述方式係屬必要,因為某個事件只能在該事件發生後予以處理,相較之下,威脅則可用來評估潛在的資安措施,以預防、偵測及修正事件。

(網路與資訊安全)風險Risk:根據CRA第三條,網路與資訊安全風險是指因事件所造成的損失或中斷的潛在損失,應以損失或中斷的規模與事件發生機率的綜合來表述。將可能性與衝擊(損失或中斷的規模)附加於威脅中,能規劃適當的安全措施以預防、偵測及修正事件,並優先執行。

由於該技術指引僅涵蓋與網路與資訊安全相關的風險,網路與資訊安全(Cybersecurity)一詞不會在此處與事件、威脅及風險給出說明。


5.3 風險導向方法的量身打造

適當的風險處理方式高度依賴於PwDE的類型及其預期目的及可預見的使用。該技術指引中的風險處理方式乃基於ISO 31000的風險管理過程,構成風險導向方法中共通的一般活動,適用於各種PwDE產品。為了簡化特定用例的風險處理,並讓導入流程更為順暢,活動以及輸入與產出通常都可以量身打造,只要符合該指引中所列的一般面向與要求。針對特定使用情境進行量身打造的做法稱為「量身打造化」,若以鼓勵考量,本文中會多處說明之。

一般建議採用廣泛採用的標準與架構,以量身打造風險導向方法,納入現有產業對產品特定風險及其適當處理的知識。

該指引可單獨使用,或配合本章所述一般活動,與其他產業特定標準結合使用。

5.4 風險處理

如圖六所示,最小風險處理活動包括風險評鑑,包括識別、分析與評估潛在風險,並進行風險處理以降低風險至可接受水準。這兩項活動皆基於描述PwDE的風險前後環節及風險分析與評鑑準則。

ISO 31000 使用風險管理一詞,同時包含「溝通與諮詢」活動,用於與利害關係人溝通與協調風險;「審查與監督」,用於審查現有風險評鑑並回應新風險;以及「記錄與報告」,用於風險文件化。這些活動也部分包含在製造商更新風險評鑑與風險報告的義務中,若有需要,將另行說明。
圖六:風險處理概觀

5.5 風險處理作為一個流程

風險處理流程會根據組織的具體需求而個別化。一般來說,有幾個方面需要考慮:

  • 風險處理是反覆進行的:無法一次性處理所有相關風險,因為即使風險評鑑最嚴謹,仍很可能仍有未被評估的風險,因為現實複雜且外部因素常常變動,風險緩解措施將引入新的或影響患者內既有的互動, 這些必須重新評估。因此,透過實施可用且結構化的流程來應對變化與不確定性,保持彈性非常重要。這不僅適用於上市前,也適用於上市後。
  • 風險處理是多層次的:風險處理是 PwDE 生命週期中每個環節的一部分,根據治理、設計、開發、生產及營運等相關利害關係人,有不同層次的細緻度。這種多層次的做法將確保適當的利害關係人參與,以及多元觀點以達成良好成果。此指引將保持在產品設計的細緻度上,旨在協助技術專家準備CRA考試,同時給予他們具體實施的自由。
  • 風險處理是溝通:成功風險處理的關鍵在於溝通,因為所有參與 PwDE 的人員都能提供有價值的見解與資訊,以妥善處理風險。因此,對風險保持透明並與相關利害關係人溝通非常重要。

5.6 風險處理的展望

風險處理基於參與者的專業知識及其觀點。風險處理必須在不同觀點間找到適當的平衡。風險處理的常見觀點包括:
  • 資安觀點:防護與環境必須保護使用者或其他利害關係人。資安試圖評估 PwDE 中哪些面向有價值,以及如何保護它們。此觀點旨在代表使用者或其他受受 PwDE 影響實體的資安需求,並盡可能降低資安風險。
  • 開發者觀點:PwDE 必須為使用者提供一個功能。開發商以功能為核心,因此風險必須與PwDE的預期目的一致評估與處理。這種觀點是為了確保 PwDE 對使用者來說仍可使用且功能正常。
  • 攻擊者觀點:PwDE 會受到潛在攻擊者的威脅。攻擊者會試圖評估一個患有多重的DE是否值得攻擊,以及如何進行。這種觀點對平衡很重要,因為它實際上損害了使用者的利益。通常產品開發中沒有真正的攻擊者參與,因此這可以透過內部攻擊性安全專家(例如滲透測試員或其他資安專家)來模擬。

5.7 風險背景

風險前後環節包含執行風險評鑑所需的所有資訊。風險前後環節對特定數位元素產品高度個人化,包含以下組成部分。

5.7.1 預期目的與可預見使用

僅影響製造商的風險,例如必要的資安措施成本或資安措施對潛在商機的影響,通常不會被考慮,由製造商自行決定。

為了評估風險評鑑的範圍,有必要定義 PwDE 在網路與資訊安全的背景下。根據第13條第1款,帶有數位元素的產品僅在符合附錄一第一部分所列基本網路與資訊安全要求時,且須妥善安裝、維護、用於其預期用途或合理可預見的條件下使用,且在適用情況下已安裝必要的安全更新;製造商所制定的流程符合附錄一第一部分所列的基本資安要求。

這表示製造商可以假設其產品已用於其預期用途或其他合理可預見的使用情境。「合理可預見使用」指的使用不一定是製造商所提供的預期目的,但很可能因合理可預見的人類行為或技術操作或互動而產生的使用。

CRA也涵蓋合理可預見的濫用,這通常不屬於風險評鑑範圍,但當構成重大安全風險時,必須依第8章進行文件記錄。「合理可預見的誤用」指的是帶有數位元素的產品,其使用方式不符合其預期目的,但可能因可合理預見的人類行為或與其他系統互動而產生。使用者故意惡意或有害行為,故意危害 PwDE 或其他系統的安全,例如越獄裝置或故意設定產品不安全,通常不屬於預期目的或可預見使用範圍。

基於此假設,製造商可根據產品的預期用途及合理可預見使用來建立風險評鑑。依據第13條第3款,該規定包括多項事項
• 產品的功能性,以達成預期目的
• 可用於合理可預見用途(但不包含於預期目的)的潛在自由度
• 產品將被使用的(操作)環境(室內或室外、私人或辦公室或其他)
• 預期的目標使用者與使用情境(一般使用者或專業使用者,單人或多用戶或其他)
• 產品預期使用的時長

5.7.2 產品架構

除了預期目的與可預見用途外,產品架構對於有效風險評鑑也很重要。架構是產品的高階技術描述,應包含:
• PwDE的連接能力(廣域網、藍牙、無線區域網或其他)
• PwDE與遠端資料處理解決方案之間的(潛在)關聯與通訊
• 與其他身心障礙者(PwDE)之間的(潛在)關係與溝通
• 殘疾與環境(PwDE)的邊界


一般而言,風險前後環節也包含被評估的受害人(PwDE)範圍,因為風險評鑑,尤其是風險處理,往往只能對製造商負責的產品或零件進行充分執行。與PwDE外元件相關的風險,可能必須由其他實體處理。對於CRA範圍內的組件來說,這通常不是問題,因為它們必須以符合預期目的風險的方式設計、開發及生產,以確保適當的網路與資訊安全水準。

製造商通常對由製造商自行整合的第三方元件負責,並依據《加拿大稅務法》第13條第5款行使盡職調查。如何處理製造商整合的第三方元件相關風險,將於第5.9節討論。

5.7.3 決策準則

風險評鑑旨在識別必須處理的風險。是否需要治療風險的決定取決於該風險的潛在影響及其他因素。為了建立一個可理解且一致的評估,決策所用的因素與標準必須納入風險脈絡中。

一般建議採用現有的具體標準,基於現有的產業知識與最佳實務。

該指引所述的風險評鑑將採用三種標準:
  • 影響標準包含資產類型及事件預期基礎影響的資訊,基於受影響資產類型及機密性、完整性與可用性的喪失。基礎影響可依事件持續時間、受影響資產數量或其他因素而提高。
  • 似然標準包含根據產品情境所提供的既有補償,估算事件發生的可能性資訊。
  • 接受準則根據潛在影響及風險發生的可能性,定義哪些風險是可接受的。
本章末將提供使用這些決策準則的策略及初步標準,製造商可依其特定流程調整使用情境。

5.8 RH_RA.1 - 風險評鑑

根據PwDE的情境,可以識別並分析PwDE潛在的資安風險。以下要求是基於ISO 31000的一般方法,旨在一般評估PwDE的網路與資訊安全風險。風險評鑑包括風險識別、風險分析與風險評鑑。

5.8.1 RH_RA.1.1 - 風險識別

5.8.1.1 RH_RA.1.1.1 - 資產識別(活動)

5.8.1.1.1 一般

為了識別產品潛在風險,必須確定因風險實現而可能受影響的受害人資產。資產是PwDE中值得保護的一切。

其中包括:
• PwDE、其組成部分與功能
• 由PwDE收集、儲存或處理的資料資產

資產清單不應包含 PwDE 以外的物件,因為這些物件無法被 PwDE 直接保護,且會變得多餘,因為所有可能受到 PwDE 影響的外部物件,在 PwDE 中都有相應的資產。

為了讓已識別的資產清單易於管理,建議根據使用情境及資產目錄的一般類型將資產分組。影響標準中的資產清單可作為資產管理的基礎。

5.8.1.1.2 輸入
• 產品具備基於預期目的及合理可預見使用方式的數位元素的功能性
• 建議:共同資產及資產類型目錄

5.8.1.1.3 控制
製造商必須識別所有 PwDE 的資產

5.8.1.1.4 輸出
• (分類)PwDE資產列表

5.8.1.1.5 參考CRA
• CRA附錄一 第一部分(1)

5.8.1.2 RH_RA.1.1.2 - 威脅建模(活動)

5.8.1.2.1 一般

可識別因先前識別資產受到威脅而對PwDE造成的潛在風險。

這包括所有可能對PwDE資產造成不利影響的威脅。這與威脅引發事件的可能性或影響無關,因為在分析與評估待識別風險時,會考慮這些因素。

一般而言,威脅取決於PwDE的預期目的及合理可預見的使用,而不考慮特定威脅行為者。一般建議採用基於現有威脅目錄的結構化威脅識別方法。

由於威脅可能影響 PwDE 的不同組成部分及其關係,威脅識別可透過資料流模型補充,以便更容易定位受影響的 PwDE 組成部分。

若 PwDE 的元件或 RDPS 被重複用於其他 PwDE,例如用於多個物聯網裝置的伴隨應用程式,或製造商用於多個 PwDE 的 RDPS,通常建議將威脅建模及風險評鑑拆分成組件,以便更方便重複使用。

如此一來,共用元件的風險處理可以在一處完成,且只需在必要時針對每個新產品更新。

5.8.1.2.2 輸入
• 預期目的及合理可預見使用
• 產品架構
• 資產列表
• (可選:威脅目錄)

5.8.1.2.3 控制
製造商必須識別對資產及可能受影響的 PwDE 元件的威脅。

5.8.1.2.4 輸出
• 已識別風險清單,包括對資產及可能受影響組件的威脅PwDE。

5.8.1.2.5 參考CRA
• CRA附錄一 第一部分(1)

5.8.2 RH_RA.1.2 - 風險分析(活動)

5.8.2.1 一般

對已識別風險的分析是評估風險的必要條件,並包括事故(影響)所造成的損失或干擾的規模,以及事故發生的可能性。影響主要透過受影響資產的價值來定義,因為對重要資產產生負面影響的事件,其影響高於影響較不重要資產的事件。影響可根據受影響資產的影響標準及其他放大因素來判斷,這些因素可能包括受影響資產的數量及不利影響的持續時間。通常,資產的價值及其潛在影響取決於產品的使用情況及相關利害關係人的利益,因為企業作為消費者可能有其他優先事項。

事故發生的可能性受多種因素影響,可能包括

• 攻擊者動機(有價值資產會提高事件發生的可能性,因為更有資格的攻擊者會有更高的動機)
• PwDE的通訊能力與溝通關係(根據外部行為者可存取的通訊能力與功能,產品可能更容易發生事件)
• 透過現有漏洞可能曝露PwDE
• 透過作業環境可能曝露於PwDE- 已實施或設計的安全控管

一般而言,判斷風險可能性需具備具體經驗,以及適用的統計數據與威脅情報。為了保持可能性的估算可理解,必須建立適當的可能性標準。若無法評估已識別風險的影響或可能性,因為該風險依賴其他參數,例如攻擊者潛力、事件持續時間、受影響產品數量,則應依參數將已識別風險拆分為多個風險。這將導致更多已識別的風險,擴展RH_RA 1.1.2所產生的清單。

註:影響與可能性的佐證理由說明

可能性與影響的評估可透過量化、定性方法或兩者混合進行。通常建議採用符合特定使用情境的產業適當方法進行風險分析。

一般而言,風險分析是主觀的,並基於執行風險分析者的經驗。額外資訊用於限定或量化風險的影響或可能性,能提升風險分析的可靠性,但也會增加風險分析的複雜度與工作量。

由於通常無法完全、精確且客觀地評估風險的可能性與影響,因此應將用於風險分析的努力與努力相比較

治療潛在風險。風險分析的結果是判斷是否必須處理風險
- 是或不是。

因此,處理潛在風險可能比承擔風險更可靠且容易努力精確評估其影響與可能性。為了支持這個說法,
本技術指引將採用基於資產類型及作業環境,並未採用量化方法,故非給出錯誤地認為數值準確,

5.8.2.2 輸入
• 已識別風險清單
• 根據可能性標準判斷事件發生的可能性
• 根據影響標準評估潛在事件的影響

5.8.2.3 控制
製造商必須分析 PwDE 的風險,包括其可能性及潛在影響。

5.8.2.4 輸出
• (已分析的)風險清單,包括影響與可能性

5.8.2.5 參考CRA
• CRA附錄一 第一部分(1)

5.8.3 RH_RA.1.3 - 風險評估(活動)

5.8.3.1 一般
風險分析完成後,製造商需評估是否需處理該風險,或是否能基於風險的衝擊與可能性接受。此活動依賴於包含風險接受規則的接受準則。與其他決策準則一樣,這些準則可以是一般性的、產業、組織或產品的特定準則。一般來說,凡是有可能發生且會對使用者造成明顯不良效應的風險,都應該受到處理。

註解:關於接受的理由
通常可以定義多層次的驗收準則,並針對不同使用情境定義風險接受度。為不同使用情境(例如消費者、企業、政府)建立風險接受度,以處理多個情境並識別出一組風險,並更方便溝通產品的預期用途,這可能很有用。該指引未採用此方法,以保持風險評鑑的彈性與普遍適用性。概念上兩者無差別,因為每一個用於評估風險接受度的額外參數都可以簡化為衝擊與可能性。

5.8.3.2 輸入
• 分析風險清單
• 驗收準則

5.8.3.3 控制
製造商必須評估 PwDE 分析中的風險是否可以接受。

5.8.3.4 輸出
• (評估風險)清單,必須處理或已可接受

5.8.3.5 參考CRA
• CRA附錄一 第一部分(1)

(未完,見次篇)

2026年7月12日 星期日

製造商與產品的網路韌性要求 第一部分:一般要求(六之三)

BSI技術指引 TR-03183-1


適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。

此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。
CC BY-SA 4。0。

(見前篇)


第二部分漏洞處理要求項目

帶有數位元素產品的製造商應:
  1. 識別並記錄帶有數位元素的產品中的漏洞與元件,包括以常用且機器可讀格式繪製軟體材料清單,至少涵蓋產品頂層相依性;
  2. 針對帶有數位元素的產品所面臨的風險,立即處理並修復漏洞,包括提供安全更新;在技術上可行的情況下,新的安全更新應與功能更新分開提供;
  3. 對包含數位元素的產品安全性進行有效且定期的測試與檢討;
  4. 安全更新發布後,分享並公開已修復漏洞的資訊,包括漏洞描述、使用者識別受影響數位元素的產品資訊、漏洞影響、嚴重程度,以及清晰易取得的資訊,幫助使用者修復漏洞;在正當理由的情況下,製造商認為公開的安全風險超過安全效益,可能會延遲公開有關已修復漏洞的資訊,直到使用者獲得適用相關修補程式的機會;
  5. 制定並執行協調性漏洞揭露政策;
  6. 採取措施促進其產品潛在漏洞資訊與數位元件及產品內第三方元件的共享,包括提供聯絡地址以通報產品中發現的數位元件漏洞;
  7. 提供機制以安全分發帶有數位元素產品的更新,以確保漏洞能及時修正或緩解,並在安全更新適用時自動進行;
  8. 確保若有安全更新可用以解決已識別的安全問題,必須立即發布,原則上皆免費提供,除非製造商與企業用戶另有協議,且針對帶有數位元素的量身訂做產品;發布該項補釘時並附有提供相關資訊的警示資訊,包括可能採取的措施。
PWDE與製造商必須遵守並展現符合CRA的基本資安要求。如圖四所示,基本要求分為第一部分,涵蓋基於網路與資訊安全風險評鑑的PwDE設計、開發與生產要求,第二部分則包含製造商漏洞處理的要求,包括漏洞識別、修復與揭露。

圖四:基本資訊安全要求結構與交互作用

只有符合第一部分要求的 PwDE 才能放入歐洲市場,這必須由製造商先予做到而展現之。第二部分要求由製造商自PwDE放入市場之日起,並於產品整個支援期間內達成之。第一部分的要求著重於確保產品設計與預設安全,而第二部分則著重於持續的漏洞處理流程。


然而,上述兩個部分並非彼此獨立,因為第一部分(2)點(a)要求產品必須沒有已知可利用漏洞,因此製造商必須先建立漏洞處理流程,以減輕已知可利用漏洞,然後才將PwDE放入市場。第二部分要求製造商識別、處理並修復漏洞,這可能包括更新 PwDE 的風險評鑑,以及變更第一部分要求的實施方式。

第一部分(1)是CRA的總體要求,要求製造商根據網路與資訊安全風險評鑑,確保PwDE達到適當的網路與資訊安全等級。此處包括識別潛在風險,並在PwDE上實施適當措施以降低這些風險。第一部分(2)以高層級涵括的產品需求支持第一項要求,這些要求必須根據風險評鑑並適用時實施於 PwDE。


3.10 不合規的後果

放入市場的PwDE係受到相應的市場監督主管機關之管制。製造商應根據市場監督機關的合理要求,提供所有必要的資訊與文件,以紙本或電子形式展現產品與數位元素及製造商所建立的符合基本資安要求的流程。

製造商必須配合市場監督主管機關,採取任何措施,消除其放入市場的數位元素產品所帶來的網路與資訊安全風險。

違反CRA義務可能導致重大罰款(最高可達1,500萬歐元,或是佔企業全球年營業額的2.5%)、市場限制或產品召回。

3.11 如何準備CRA

簡單來說,以下幾個面向即使沒有具體法規指引,也應考慮以妥善面對CRA的考驗:
1. 對必須受到PwDE保護的資產及潛在威脅進行誠實的網路與資訊安全風險評鑑;
2. 根據CRA的基本要求,利用適當的安全控管,將風險降低至可容忍的程度;
3. 將用戶放在心上,並以開放透明的方式溝通,以用戶的最佳利益為依歸;
4. 維護 PwDE 在整個生命週期中的資訊安全性,並與相關單位合作防範漏洞;
5. 採用現有最佳實務,無須重新發明輪子。

遵循上述的各個面向,每一家製造商,尤其是已經熟悉網路與資訊安全的廠商,都應該具備充分的CRA準備妥當情況。

此份技術指引將更詳細說明CRA的潛在待實施考量,特別是針對剛接觸資安主題的製造商。


4 使用方式 Usage

該技術指引提供製造商或第三方代表製造商進行自我評鑑。執行評鑑時必須考慮以下說明與評鑑程序。

4.1 評估員Assessor

評鑑由評鑑人員執行,評鑑人員可以是製造商自身組織或由第三方為之。選擇評估者時需考慮以下因素:

• 評估員需具備足夠的技術知識及評鑑方法,以合格方式執行評鑑;
• 評估員需取得或被提供所有執行評鑑所需的資訊;
• 評估者必須保持公正,不應參與帶有數位元素產品(PwDE)的開發事項,以促進獨立地評鑑。

即使評鑑是由開發團隊執行,也必須以適當的批判心態進行評鑑,並保持客觀。


4.2 評鑑範圍

符合性評鑑針對PwDE的設計或完成的PwDE實例進行。將採用圖五中的通用 PwDE 架構。

PwDE由依據(CRA第3(1)條)提供到市場的硬體及/或軟體元件組成。這些「提供到市場的元件」會銷售到各處並受到使用者控制。

提請注意:某個PwDE 可能接觸到多個使用者,例如:安裝 PwDE 的整合者、負責配置與維護 PwDE 的管理者,或實際使用 PwDE 功能的終端使用者。經銷商若原封不動地轉售 PwDE,則不被視為使用者,因為經銷商既不更改 PwDE,也不使用其功能。

若PwDE允許從硬體或軟體面向改造元件,或由製造商(或其他經濟營運者)提供到市場、或受渠等控制的元件,此等元件在評鑑中毋須納入考量。而得能容納該等元件的界面則是 PwDE 的一部分,亦須受到前述的評鑑。此外,風險評鑑還必須考慮可能用到帶有額外元件的效應。

同樣的情況也適用於應與其他PwDE一起使用、由製造商(或其他經濟營運者)提供到市場或由其控制的PwDE。

使用者整合的額外元件不屬於 PwDE,例如額外的應用程式或服務。雖然此等未由製造商整合的元件不屬於 PwDE 的一部分,但若使用者整合第三方元件符合 PwDE 的預期目的或可預見用途,執行風險評鑑時仍須考慮相關風險。

除了市面上的軟體/硬體元件外,PwDE 還包含由製造商設計與開發、或由製造商負責的遠端資料處理解決方案(RDPS, remote data processing solutions),若缺乏該等解決方案,將阻礙帶有數位元件的產品執行其功能(CRA 第 3(2) 條)。


圖五:通用型PwDE架構

根據CRA第26條,委員會將提供更多關於RDPS的指引文件。在此段等待期間,此份技術指引將假設由製造商設計與開發、提供「已提供到市場的元件」功能的軟體,皆為 PwDE 的「RDPS」。開發亦包括第三方軟體的量身打造及實施 PwDE 使用的新特性。設定第三方軟體的行為並不視為開發。

此處包括由製造商設計與開發、為 PwDE 必要功能所必需的 RDPS,以及對使用者而言不重要的其他 PwDE 功能所必需的 RDPS,如;遠端遙傳或廣告,因為這些非必要功能也可能對 PwDE 構成風險。抑或即使由製造商開發,但若軟體對 PwDE 功能沒有直接衝擊,則並不屬於 PwDE,例如:時程安排程序、後端日誌架構、無商業邏輯的儲存或其他基礎設施服務。

RDPS 元件的基礎架構,即硬體、第三方軟體及運作 RDPS 元件所需的組織措施,並不屬於 PwDE 的一部分。然而,製造商仍負責 RDPS 元件,並必須透過提供必要的基礎設施來確保安全運作。

4.3 評鑑時間點

由於無法避開使用者自行修改 PwDE為不安全狀態,因此只有依照使用者手冊建議初始配置及(可能的)更新至最新版本後的狀態才對評鑑才有參考價值。此狀態可透過執行以下步驟達成:

• 取得新產品或將產品重置至原始狀態,例如恢復出廠設定或全新安裝。
• 依照使用手冊建議啟動產品及初步設定。
• 若在初始設定時尚未更新,則執行最新版本軟體。

4.4 情態動詞

該指引中關鍵詞「必須must」、「絕不must not」、「要求required」、「應shall」、「不應shall not」、「須should」、「不須should not」、「建議recommended」及「可選optional」,當且僅以全部大寫字母寫出時,應依BCP 14(RFC 2119, RFC 8174)中所述解釋,如此處所示。

1. 「必須must」這個詞,或「要求REQUIRED」或「應SHALL」,表示該定義是絕對必要的規範要求。
2. 「絕不must not」或「不應SHALL NOT」,表示該定義為絕對禁止的規範。
3. 「should」或形容詞「RECOMMENDED」,表示可能存在正當理由或在特定情況下忽略特定項目,但其完整含意必須是理解並謹慎權衡後才得以選擇另一條途徑。
4. 「須should」或形容詞「不建議NOT recommended」,表示在特定情況下會因某種有效的理由,使該行為可以接受甚至甚有用處,但在實施任何以此情態動詞描述的行為前,應充分理解其含義並仔細權衡。

4.5 控制

CRA的要求由該條例自身寫出各項規定。該份技術指引將制定控制措施,旨在降低PwDE的資安風險,並滿足CRA的基本資安要求。

每個控制部分包含以下事項:
輸入(僅限活動):製造商活動的預期輸入;
風險前後環節(可選):基於風險的情境,且適用於控制時;
控制:必須由PwDE或其部分(如適用時)達成;
產出(僅限活動):製造商活動的預期產出;
目標(可選):由控制所保護的元件或功能類型;
評鑑指引(可選):針對控制評鑑的額外指引。根據相關涉及的風險,可能會提供不同層級的評鑑指導;
實作指引(可選):控制的實作特定資訊,例如特定的密碼演算法、或 PwDE 的特定配置;此事項並非強制性要求,而是由於涉及相關風險,建議以特定方式實施控制措施;
補償(可選):若無法執行此控制,則可作為補償的替代控制;
參考到CRA:控制事項須引述所對應的CRA基本要求、或其他由控制措施支持的要求。此處的參考資料可用來識別由PwDE實施的基本要求。

4.6 評鑑程序

該節給出評鑑程序,以評鑑該技術指引中所述的安全控管是否得到遵循。考慮重現性與一致性,每個評鑑步驟都應由評估者記錄並納入第4.8節定義的測試報告中。

評鑑透過依照以下規則評估該指引中每項控制措施的適用性與實現性予以執行:

控制:控制由一個帶有 MUST(必須)的規範性陳述組成,若陳述可被評鑑為【通過PASS】,否則控制【未達成(FAIL)】。控制事項可以標記為【不適用(N/A)】,若
• 可以參照到某種補償方式,
• 控制事項的目標機制並不存在於PwDE中,
• 控制語句中的「如果if」條件不適用,
• 或該控制事項與其他法規相抵觸。

一般來說,控制事項的評估範圍須足夠具體,若不夠具體,控制事項將由額外的指引補充,這些指引必須用於評鑑控制事項。控制事項至少必須根據(PwDE)的文件在概念層面進行評鑑。建議根據PwDE或製造商的行為進行功能評鑑,以取得額外保證,但並非強制要求。

基於風險的控制:基於風險的控制包含一個或多個風險前後環節、一個要求事項及可選的評鑑準則。若風險不適用於產品,則風險導向控制可能評鑑為【不適用(N/A)】。若係稱控制事項得由受風險影響的PwDE或其部分達成,則基於風險的控制之評鑑結果為【通過PASS】。

一般而言,CRA的要求只要採取適當的控制措施,即可充分降低網路與資訊安全風險。該指引使用以下類型的控制以方便區分:

活動:活動是行政控制,包含製造商應執行的活動以及預期的輸入與產出。若製造商執行要求中所述活動並產生所要求的產出,則流程控制即係【通過PASS】;否則,控制便是【未達成(FAIL)】。

機制:機制為主動技術控制,若控制依照 PwDE 描述實施,則稱為【通過PASS】,否則控制便是【未達成(FAIL)】。

文件化:文件化是在 PwDE 的運行過程的產出物,但不是直接屬於 PwDE 的部分。若製造商以上述方式提供文件供內部、外部或公眾使用,則文件控制係【通過PASS】。文件評鑑不包括對係稱流程的評鑑。

評鑑最好整合進開發流程及持續型品質保證流程,若可能時,宜採自動化方式為之。

若所有控制點均標示為【通過PASS】或【不適用(N/A)】,則整體判定為【通過PASS】,否則便是【未達成(FAIL)】。

評鑑步驟可能包含以下各項術語,評估者必須對此有所了解及採用之:

• (普遍認可)的【現今技術水準state of the art】是指特定領域內,針對特定使用情境,目前且普遍認可的最佳實務。這裡通常不是要求使用最新技術,而是採用知名且成熟的技術、方法與流程,以符合特定使用情境。如有需要,會提供現今技術水準的示例或準則。

• (普遍認可)【現今技術水準的密碼學State of the art cryptography】遵循常見且知名的密碼學建議,例如 BSI TR-02102、SOG-IS 協議密碼機制或符合 ISO 18033-1 附錄 A 要求的類似標準。若密碼機制適合相應的使用情境,且目前尚無既有技術可行使此事項的攻擊,則可視為現今技術水準。

提供與發佈表示資訊的分配方式。預設情況下,製造商若未另行指定提供或發佈,則無需提供文件或其他紀錄給第三方。【提供】指的是授權特定第三方存取文件,例如PwDE的使用者。【發佈】意味著某件事被記錄下來,並可免費、輕鬆且公開地存取。

• 支援與實施表示某功能是否必須由PwDE直接實施,或僅在整合至其他PwDE的前後環節下支援。

• 預設且總是顯示 PwDE 配置/政策的有效性。「預設」意指若使用者未另行設定,PwDE 會依照描述方式運作。「總是」表示該項行為屬於強制執行,使用者無法更改。


4.7 整體判決的詮釋

整體判決僅作為指標,顯示PwDE是否符合該技術指引的要求,但並非直接聲明符合CRA規定。

未達成(FAIL)】不一定代表PwDE不符合CRA規範,因為該指引中的某些要求可能不適用於所有帶有數位元件的產品。【通過PASS】也不代表PwDE產品符合《網路韌性條例》(CRA),因為PwDE可能帶有該技術指引未涵蓋的風險。

4.8 測試報告

根據CRA第31條,製造商必須在將PwDE放入市場前,先擬具制定技術文件。其中包括:

產品總體描述,包含數位元素,包括其預期用途、影響符合基本資安要求的軟體版本、附錄II中所列使用者資訊與說明,以及展示外部特徵、標記與硬體內部佈局的照片或插圖。
• 描述產品設計、開發與生產過程,包含數位元素與漏洞處理流程
• PwDE產品的生產與監控流程的必要資訊與規範,包含數位元素,並確證此等流程;
評鑑PwDE產品所面臨的資安風險,包括附錄一第一部分適用的基本資安要求;
• 為查證PwDE產品的符合性所進行的測試報告,以及符合附錄一的第一部分及第二部分所列出適用係稱產品的基本資安要求之漏洞處理流程;

利用該份技術指引,可以產生測試報告以記錄對PwDE產品的評鑑。

根據該份技術指引的要求,測試報告至少必須包含以下資訊:
評鑑日期
識別PwDE產品,至少包括以下資訊:
– PwDE產品的名稱與型號;
– PwDE產品說明及預期目的;
– 硬體與軟體版本;
– 軟體物料清單(SBOM)(如適用時);
– 針對硬體 PwDE:展示外部特徵的照片或插圖,標記;以及內部佈局與硬體元件,並包含數位元素;
風險評鑑
– 已識別的資產與威脅;
– 評估風險;
– 可接受的風險;
設計文件化
– PwDE架構,包含硬體與軟體元件及數位化元件,以及網路和實體介面;
– 適用的控制措施,包括風險緩解及相應的必要網路與資訊安全措施要求;
– 選擇控制措施的實施內容說明;
– 選定之控制事項的查證流程;
說明漏洞處理活動
查證漏洞處理活動
提供給使用者的文件。

(未完,見次篇)

2026年7月11日 星期六

匈牙利布達城堡迷宮概略

歷史與形成

匈牙利布達城堡迷宮(Der Labirintus / Labirintus Budavári)位於布達佩斯城堡山(Castle Hill)地下,是世界上獨特的大型石灰華洞穴系統之一。其自然形成可追溯至約五十萬年前,由城堡山石灰岩受熱泉水長期侵蝕、溶解而成,形成了泉源、洞穴、地下通道與地窖的複雜網絡。


中世紀時期,人們將這些天然洞穴擴建成人工通道,用作儲藏室、防空洞、監獄,甚至戰時庇護所。第二次世界大戰期間進一步擴建,成為長達數公里的地下迷宮網絡。目前開放參觀的部分約1,000 至 1,200 米長,涵蓋中世紀石砌走廊與現代擴建部分。

迷宮曾作為監獄使用,最著名的傳說與弗拉德·采佩什(Vlad Tepes,又稱穿刺公 Vlad the Impaler)有關。據說 1462 年左右,他被匈牙利國王馬加什一世(Matthias Corvinus)囚禁於此長達數年至十四年不等,在黑暗潮濕的地下遭受折磨。後來他成為德古拉(Dracula)傳說的原型,這也讓迷宮增添濃厚的神秘與恐怖色彩。



主要景點與特色

- 德古拉之室(Dracula’s Chamber):紀念弗拉德被囚的區域,有相關蠟像與歷史說明。
- 黑暗迷宮(Maze of Darkness):完全漆黑的通道,遊客需手握綠色軟管前行,考驗方向感與勇氣,極具沉浸式體驗。
- 蠟像與歷史展覽:展示匈牙利歷史人物、著名洞穴介紹,以及中世紀生活場景。還有霧氣瀰漫的區域,重現昔日潮濕陰冷的氛圍。
- 黑伯爵(Black Count)傳說:19 世紀據說有「黑伯爵」鬼魂出沒,有人認為與弗拉德有關,或是貧困伯爵與盜匪勾結的歷史人物。其鬼魂據說仍在此舉辦地下化裝舞會。
- 其他展區:包括「鬼魂迷宮」、吸血鬼狩獵主題活動,以及探討全球著名洞穴的展示。





迷宮整體氣氛陰森潮濕,結合歷史蠟像、燈光效果與完全黑暗段落,非常適合喜愛冒險與恐怖元素的遊客。開放時間通常為每日上午 10 點至晚上 7 點,入口位於 Úri utca 9 號(城堡區內一條安靜小街)。

靈性與魔鬼相關特色

迷宮因長年黑暗、潮濕與歷史上的監禁、折磨用途,自然滋生大量靈異傳說:
- 吸血鬼與弗拉德傳說:被視為德古拉靈感來源之一,部分遊客與導覽強調其「吸血鬼」氛圍。
- 黑伯爵鬼魂:據稱會在通道中現身,伴隨低語聲、溫度驟降、白霧與難以捕捉的陰影等超自然現象。
- 其他靈異報導:遊客偶爾提及不安感覺、耳語聲或歷史幽魂存在,強化了「歐洲最陰森地下景點之一」的名聲。
- 整體環境讓人聯想到中世紀的苦難、煉獄與魔鬼力量,適合探索「光明與黑暗」、「歷史與超自然」的交匯。




參觀建議與其他推薦

推薦指數:如果您喜歡歷史、冒險與輕度恐怖體驗,強烈推薦(尤其夜晚前參觀更添氛圍)。不適合 claustrophobia(幽閉恐懼症)患者或幼童。穿舒適防滑鞋,注意地面潮濕。

其他布達佩斯值得推薦的特色景點:

- 醫院岩洞(Hospital in the Rock):同樣在城堡山地下,二戰與冷戰時期的秘密醫院兼核掩體,歷史真實性更高。
- 蓋勒特山洞穴教堂(Gellért Hill Cave Church):天然洞穴改建的教堂,具有強烈靈性與宗教氛圍。
- 布達城堡地下其他通道:探索更廣的城堡山洞穴系統。
- 塞切尼溫泉浴場:利用同一熱泉系統的地面享受,與地下迷宮形成有趣對比。
- 鬼魂步行導覽(Ghost Walks):布達佩斯夜間鬼魂主題導覽,可先參加以加深對迷宮歷史的理解。

布達城堡迷宮是結合自然奇觀、中世紀歷史、恐怖傳說與冒險體驗的獨特景點,值得親身探索其陰森卻迷人的地下世界。若想更深入了解特定傳說,建議現場參加導覽或主題活動!