EU Regulation 2019/881 (Cybersecurity Act)
| 適合讀者:大學以上程度|法規、資訊、資安、工程、產業界從業人員 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱ENISA官方網站和EUR-Lex資料庫。 CC BY-SA 4。0。 |
十三、經濟營運者的義務
13.1 義務主體分類
該CSA條例及相關驗證方案對不同角色的經濟營運者課以不同義務,主要分類如下:
|
營運者類型 |
主要義務 |
| 製造商(Manufacturer) | 設計安全性(Security by Design)義務:產品開發初期即須整合安全功能。對高等級驗證,須提交完整技術文件(Technical File),包含設計文件、威脅模型、安全測試報告。 確保產品設計符合驗證方案要求 貼附驗證標誌 (Certification Mark) 若產品不符合要求,採取矯正措施 (Corrective Actions) 驗證期間發現漏洞須通報主管機關、發布更新修補程式 驗證到期前啟動更新流程 |
| 進口商(Importer) | 確認製造商已完成適當的符合性評鑑, 必須核實產品是否具備歐盟驗證標章, 確保技術文件齊全, 保存驗證相關文件至少10年。 發現不符合產品時,通知製造商及主管機關。 |
| 經銷商(Distributor) | 核實產品附有必要的驗證標誌或聲明。 不得供應已知不符合的產品; 儲存條件不得影響產品之符合法規狀態 若發現漏洞需立即通報並暫停銷售; 配合主管機關的市場監督行動。 |
| 服務提供商(Service Provider) | 雲端等ICT服務提供商須依EUCS驗證要求,接受持續監控及定期重新評鑑。 |
| 授權代表(Authorised Representative) | 非歐盟製造商在EU境內指定的法律代理人,承擔部分製造商責任,負責保存技術文件供主管機關查閱 (至少 10 年) 確保本地法規監督管理聯繫窗口暢通 協助主管機關進行市場監督 |
13.2 合格聲明(DoC)與標誌義務
● 基本等級:製造商可出具「EU符合性聲明(EUDoC)」,無需第三方查證
● 顯著/高等級:由CAB頒發驗證後,方可使用歐洲網路資訊安全驗證標誌
● 標誌防偽:ENISA維護公開的驗證登錄(Registry),允許公眾查證驗證真實性
圖13.1:經濟運營者與市場監督機制圖
此圖呈現 供應鏈義務流向 與 監督回流 機制:
- 義務向下流動 (Obligations flow down):製造商 → 授權代表 → 進口商 → 分銷商 → 最終用戶
- 監督向上流動 (Surveillance flows up):各環節均受國家主管機關、認證機構、市場監督三重監管
- 保障機制 (Safeguard Mechanism):撤回 (Withdrawal)、召回 (Recall)、限制 (Restriction)
十四、保障機制與市場監督
14.1 市場監督架構
該CSA條例第58-61條建立市場監督機制(參見EU 2019/1020市場監督條例,另文介紹),由成員國指定的主管機關執行:
● 主動監督:主管機關可主動抽樣測試市場上的驗證ICT產品,查證持續符合性
● 被動監督:受理消費者、競爭對手或安全研究人員的投訴
● 跨境協作:各成員國主管機關通過ECCF監督網路(National Cybersecurity Certification Authority, NCCA)共享資訊
14.2 保障條款(Safeguard Clause)
當已驗證產品被發現不再符合安全要求時,啟動保障機制(參見EU 768/2008新法規架構的第R5章《保障程序》):
l 主管機關要求製造商在規定期限(通常30-60天)內修復漏洞;
l 製造商未能修復時,主管機關可暫停或撤銷驗證;
l 撤銷決定通知ENISA和其他成員國,防止跨境繼續銷售;
l 嚴重風險情況下(如主動被利用的漏洞),可立即暫停驗證並要求撤回或召回;
l 製造商可對決定提出行政異議或司法訴訟。
14.3 漏洞揭露與協調機制
該CSA條例推動「協調漏洞揭露(Coordinated
Vulnerability Disclosure, CVD)」成為驗證方案的標準要求:
● 製造商須建立漏洞回報接收管道(Security Response Process)
● 驗證方案要求製造商在90天內發布修補程式(patch)
● ENISA維護歐洲漏洞資料庫(European Vulnerability Database, EUVD)補充美國NVD的功能
十五、罰則
15.1 直接罰款的缺失
Regulation (EU) 2019/881本身並未規定直接的金錢罰款機制,這是該CSA條例的重大批評點之一。罰款機制分散於各成員國立法及相關法規中:|
⚖️ 罰則機制來源 |
|
① 各成員國依第65條須制定適當且有效的處罰規定,但具體金額由各國自定 |
|
② NIS 2指令:最高1,000萬歐元或全球年營業額2%(重要實體);700萬或1.4%(重要實體) |
|
③ GDPR:最高2,000萬歐元或全球年營業額4%(違反資安要求且關聯個資事件時可能並罰) |
|
④ 網路韌性法(CRA,2024年):最高1,500萬歐元或全球年營業額2.5%(不符合強制安全要求) |
|
⑤ 市場准入拒絕:主管機關可禁止不符合產品在EU市場銷售,間接懲罰效果巨大 |
15.2 非金錢制裁
● 驗證撤銷(Withdrawal of Certificate):最嚴重的直接制裁,影響市場准入
● 公開通報(Public
Disclosure):主管機關可公開違規資訊,形成聲譽損失
● 採購排除(Procurement
Exclusion):被列為不符合性的廠商可能被排除於公共採購
● 禁止銷售(ban for sale)、責令召回(Recall):嚴重安全缺陷時,要求在市場上召回產品
(未完,見續篇)
沒有留言:
張貼留言