EU Cyber Resilience Act(CRA)
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3
適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
第十一章 調和標準與產品測試
11.1 調和標準的法律地位
CRA
§27 規定:若產品符合其全部或部分涵蓋基本要求的「調和標準」(Harmonised
Standards),即推定其符合對應的 CRA 要求(presumption of conformity)。這是製造商最務實的合規路徑。
2025年2月3日,歐盟委員會正式向 CEN、CENELEC、ETSI 發出標準化授權(Mandate M/606),要求在 2027 年前完成 CRA 調和標準開發。預計 2027 年 Q2 前可在官方公報正式引用。
11.2 關鍵標準列表
|
標準編號 |
名稱 |
與 CRA 的關聯 |
|
ETSI EN 303 645 v2.1.1, |
消費者
IoT 網路資訊安全 |
CRA 附錄I
基本要求的重要參考標準,針對智慧家電等消費性
IoT 裝置提供具體控制措施,被視為最可能被引用的
CRA 調和標準之一 |
|
資訊安全管理系統(ISMS) |
製造商整體
ISMS 架構的依據,涵蓋組織層面的資安管理,可支持
CRA 的系統性漏洞管理要求 |
|
|
資訊安全控制措施 |
提供
93 項安全控制措施的實施指引,與
CRA 附錄I
Part I 的技術要求高度對應 |
|
|
漏洞揭露 |
CVD(協調式漏洞揭露)程序的國際標準,直接對應
CRA 附錄I
Part II 第
5 項義務 |
|
|
漏洞處理流程 |
製造商接收、分析及修補漏洞的流程標準,與
CRA 漏洞管理義務高度相關 |
|
|
物聯網安全基準 |
新發布的
IoT 安全標準,預計對
ETSI EN 303 645 形成補充 |
|
|
IEC 62443 系列 |
工業自動化及控制系統安全 |
工業
IoT 及
OT 設備的核心安全標準,對 附錄III
Class II 的工業控制系統元件高度相關 |
|
ETSI EN 18037:2025 |
產業別網路資訊安全評鑑標準 |
制定針對複雜多向度利害關係人產業系統中,針對網路資訊安全類別的ICT產品、流程與服務的風險基礎識別、驗證與保證要求的標準化過程方法。 |
|
德國聯邦資訊安全局技術指引 |
係技術報告而非正式標準,但提供
CRA 要求的詳細技術操作指引,目前為等待調和標準空窗期的重要參考 第1部分:共通要求 第2部分:SBOM模板 第3部分:漏洞報告與通知 |
11.3 測試服務、流程與合規
在正式調和標準發布前,製造商可採取以下方式進行符合性測試:
l 安全滲透測試(Penetration Testing):委託 CREST 或 CHECK 認可的滲透測試機構,針對產品進行黑箱、白箱或灰箱測試
l 靜態應用程式安全測試(SAST):使用工具如 SonarQube、Checkmarx 掃描程式碼漏洞
l 動態應用程式安全測試(DAST):模擬攻擊者行為,測試執行中的應用程式
l 軟體成分分析(SCA):使用 Snyk、Black Duck、FOSSA 等工具掃描 SBOM 中的已知漏洞(CVE 資料庫比對)
l 模糊測試(Fuzzing):針對通訊介面進行隨機輸入測試,發現意外的邊界行為
l 第三方安全評鑑:委託公告機構或認可測試實驗室執行 Common Criteria 或 FIPS 140-3 相關評估(可作為 CRA 符合性的佐證)
第十二章 主管機關(Competent
Authority)與市場監督
12.1 主管機關的層次結構
CRA
的執法體系採分散式設計,涉及多個層次的機構:
|
機構層次 |
代表性機構 |
主要職責 |
|
歐盟層級 |
ENISA(歐盟網路資訊安全局) |
建立及維運單一漏洞通報平台(Single
Reporting Platform);支援成員國技術能力建設;發布指引文件;協調跨國市場監督行動 |
|
歐盟層級 |
歐盟委員會(DG
CONNECT) |
發布委任法規及實施法規;管理調和標準清單;監督整體
CRA 執行 |
|
成員國層級 |
市場監督機關(MSA) |
監控市場上流通的
PDE;調查不符合案件;命令更正措施或召回;對違規企業施加罰款 |
|
成員國層級 |
CSIRT |
接收製造商的漏洞及事件通報;協調跨成員國的漏洞緩解行動 |
|
成員國層級 |
公告機構(NB) |
對重要及關鍵產品執行第三方符合性評鑑;頒發
EU 型式審查證書 |
12.2 市場監督的運作方式
CRA條例第V章(§52-§54)的市場監督機關(MSA)必須採取相關措施,配合歐盟 (EU) 2019/1020(市場監督條例)(參見專文說明)建立的通報與反應機制和資料庫,及時處理PDE產品相關市場監督行動。主要措施包括:
●
主動採樣:MSA 可自市場購買PDE產品進行技術評估
●
文件稽查:要求製造商或進口商提供技術文件及 EU DoC符合性聲明
●
現場調查:進入製造商或分銷商設施進行檢查
●
限制措施:命令製造商發布警告通知、軟體修復補丁、通知使用者限時更新,或限制銷售、召回,特定嚴重狀況可以永久禁止係稱PDE產品進入歐盟市場
● 跨境協調:透過 RAPEX/Safety Gate 系統通報其他成員國
12.3 漏洞單一通報平台(ENISA)
§16 及 §17 規定 ENISA 建立並維運「CRA 單一通報平台」(Single Reporting Platform),製造商通過此平台向相關 CSIRT 及 ENISA 提交漏洞及事件通報。此平台預計於 2026 年 9 月 11 日義務生效前就緒,亦接受自願性通報。
第十三章 安全保障機制(Safeguard Mechanism)
13.1 歐盟層級保障程序(§52-54)
當某一成員國發現市場上的 PDE 構成重大網路資訊安全風險,而原始碼機關採取的限制措施不足以解決問題時,可啟動「歐盟保障程序」(Union Safeguard
Procedure):
1.
成員國
MSA 將案件及措施通知歐盟委員會
2.
歐盟委員會評估措施是否合理,並通知其他成員國
3.
若委員會認定措施合理,可向所有成員國發出統一要求
4. 若判定措施無效,委員會可採取補充措施,包括委任法規的緊急修訂
13.2 ENISA 協調角色
ENISA 在保障機制中扮演技術協調者角色,特別是在涉及供應鏈風險或跨國影響的漏洞事件中,協助評估技術影響及協調跨 CSIRT 的應急響應。
第十四章 處罰規定(§64)
14.1 罰款結構
|
違規類型 |
最高罰款金額 |
法規條款 |
|
違反 附錄I 基本要求或重要義務(§13-16) |
1,500萬歐元或全球年營業額的
2.5%(取較高者) |
§64(2) |
|
違反其他義務(如標示、通報、配合市場監督等) |
1,000萬歐元或全球年營業額的
2%(取較高者) |
§64(3) |
|
提供不實或誤導性資訊給公告機構或市場監督機關 |
500萬歐元或全球年營業額的
1%(取較高者) |
§64(4) |
|
微型及小型企業(依
C3 更正文件) |
豁免 §64(2)(第一類最高罰款)適用 |
§64(10) 更正後版本 |
|
開源軟體管理者(依
C3 更正文件) |
豁免所有 §64(2)-(9) 罰款 |
§64(10) 更正後版本 |
重要說明:上述金額是成員國立法時的上限參考。各成員國在轉化為國內法時,可設定低於此上限的罰款標準,但不得高於歐盟上限。此外,除行政罰款外,嚴重的CRA條例違規情況可能觸發其他法律後果,包括:產品強制召回、禁止銷售令、及受害者的民事損害賠償請求。
歐盟委員會的內部指引提供的案例說明,輕微違規第一次通常會課處0.5%以下的罰鍰,只有故意隱瞞已知嚴重漏洞而且拒絕修正的狀況,才會課處超過2%的罰鍰。但是從GDPR過去的執行經驗來看,非歐盟廠商平均被課處的罰鍰大約是歐盟境內廠商的2.3倍。
14.2 罰款計算的考量因素
●
違規行為的性質、嚴重程度及持續時間
●
違規的故意性或過失程度
●
受影響的使用者數及損害程度
●
違規企業的財務規模
●
是否配合主管機關調查
●
是否主動採取修正措施
沒有留言:
張貼留言