EU Cyber Resilience Act(CRA)
Regulation (EU) 2024/2847 + Corrigendum B / C1 / C2 / C3
適合產業界、驗證業、資訊安全、網路安全及軟/硬/韌體工程師、企業管理者或法規政策研究人員,具備大學教育背景但對歐盟法規未盡熟悉的亞洲讀者閱讀。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。法規內容可能隨時間修訂,具體符合決策宜諮詢歐盟專業法律及資安顧問或驗證機構。文中提及之市場資料係基於公開報告及邏輯估算,實際數值可能隨時變動。參考法規資訊截至2026年3月,後續修訂請查閱歐盟CRA官方網站和EUR-Lex資料庫。 © All Rights reserved。 版權聲明。CC BY-SA 4。0。 |
2.2 CRA 的架構:八章+ 八個附錄
CRA條例 正文共 71 條,搭配九個附錄(附錄I 至 IX)。核心架構如下:
|
章節 / 附錄 |
主要內容 |
|
第一章(§1-12) |
主旨、適用範圍、定義、採購及使用PDE產品、PDE產品類型(基本、重要、關鍵)、諮詢利益團體、一般產品安全要求、數位元素產品的基本要求、高風險AI系統 |
|
第二章(§13-26) |
製造商義務、製造商通報義務、自願通報、單一通報平臺、通報相關事項、授權代表義務、進口商義務、經銷商義務、經濟營運者的識別、開源軟體管理義務、自由及開源軟體資安證明、指引
風險評估、CE
標誌 |
|
第三章(§27-34) |
符合性假設、EC符合聲明、CE 標誌一般原則、貼附CE
標誌規則與條件、技術文件、PDE產品符合性評鑑程序、微型及中小企業支援措施、相互承認協議 |
|
第四章(§35-51) |
公告、通報機構、通報機構要求、公告機構資訊要求、公告機構的符合性假設、公告機構的分支機構與委外、申請成為公告機構、公告程序、公告機構的號碼與名單、變更公告、挑戰公告機構的專業能力、公告機構的營運義務、公告機構決定的申訴、公告機構的資訊義務、經驗交換、協調公告機構 調和標準、 |
|
第五章(§52-60) |
歐盟PDE產品的市場監督與管制、取得資料與文化、成員國層級的嚴重資安風險PDE產品程序、 歐盟保障機制、歐盟層級的嚴重資安風險PDE產品程序、符合的PDE產品帶有嚴重資安風險、形式不符合、市場監督機構聯合活動、掃蕩 |
|
第六章(§61-62) |
委員會授權立法、委員會程序、 |
|
第七章(§63-65) |
保密義務、罰則、代表性措施 |
|
第八章(§66-71) |
增補歐盟法規、過渡期規定、評估及審查、實施條例 |
|
附錄
I |
基本網路資訊安全要求(Part
I 設計/開發/生產;Part II
漏洞處理) |
|
附錄
II |
使用資訊(隨附文件)要求 |
|
附錄
III |
重要產品(Important
Products)分類:Class
I 與
Class II |
|
附錄
IV |
關鍵產品(Critical
Products)分類 |
|
附錄
V |
EU 符合性聲明模板 |
|
附錄VI |
EU 符合性聲明模板(簡略版) |
|
附錄
VII |
技術文件(Technical
Documentation)內容 |
|
附錄
VIII |
符合性評鑑程序暨模組 |
2.3 CRA 與其他歐盟法律的關係
CRA
刻意設計為「水平展開型基礎」法規,相對於其他垂直法規(sectoral
legislation)的特定適用範圍,CRA條例在網路資訊安全方面屬於優先適用。以下是該條例主要的交叉影響法規:
|
法規編號 |
名稱 |
與 CRA 的關係 |
|
GDPR(一般資料保護條例) |
CRA 的安全設計要求與
GDPR §25(privacy
by design)相互補充;數位產品的資安漏洞可同步觸發
GDPR 資料洩漏通報義務,分開課處罰鍰,兩者不會互相抵銷 |
|
|
NIS2 指令(網路與資訊系統安全) |
NIS2 規範「營運者」組織的安全義務;CRA
規範「製造商」的產品安全。兩者分工明確但高度協調,CSIRT
聯絡機制共用, |
|
|
人工智慧AI
法(AI Act) |
特別法優先於一般法,已經被AI法特別管制的義務優先適用AI法,所有剩餘的網路資訊安全義務仍然適用CRA;高風險 AI 系統若同時屬
CRA 適用範圍,其網路資訊安全要求以
CRA 為準,並由
AI Act 主管機關協同審查 |
|
|
ENISA 法(Cybersecurity
Act) |
CRA 的歐盟網路資訊安全驗證架構(EUCS)在 CRA 中具有「推定符合」效力;ENISA
同時擔任漏洞通報平台建置者,是CRA條例主要的技術和協調機構 |
|
|
EU 2022/2554(DORA) |
數位運營韌性條例(金融業) |
金融機構使用的數位產品同時須符合
CRA 與
DORA;供應商風險管理條款有重疊 |
|
關鍵實體韌性條例 |
關鍵基礎設施的韌性及其相關義務,使用的數位產品同時須符合該條例與
CRA |
|
|
歐盟航空安全基礎法(EASA) |
民用航空產品由
EASA 規範,排除適用
CRA |
|
|
EU 2017/745
(MDR) |
醫療器材條例 |
醫療器材(含軟體)排除適用CRA,由 MDR 規範;軟體即醫療器材(SaMD)適用 MDR 附錄I 安全規定 |
|
EU 2017/746
(IVDR) |
體外診斷醫療器材條例 |
同
MDR,排除適用CRA |
|
EU 2019/1020
(MSR) |
市場監督與產品合規條例 |
強化進口到歐盟產品的責任追溯、市場監督的行政與管理機制 |
|
車輛型式認證法規(UN
R155) |
道路車輛排除適用
CRA,由車輛型式認證體系規範 |
|
|
船舶設備指令(MED) |
經
2021/1206 修訂,含特定海事設備,排除適用CRA |
|
|
無線電設備指令
(RED) |
要求電磁相容與頻率合規,CRA條例 補足其未詳訂的「資訊安全」面向 |
|
|
一般產品安全條例(GPSR) |
CRA 與
GPSR 並行;GPSR
規範實體安全,CRA
規範網路資訊安全,兩者可同時適用 |
|
|
EU 2023/1230(機械條例) |
機械條例 |
若機械產品含數位元素且具網路連接,同時適用
CRA 與機械條例;部分要求(如 附錄I 1.1.9)可相互主張符合性 |
第三章 更正文件(Corrigendum)B / C1 / C2 /
C3 說明
法規在官方公報發布後,若發現文字錯誤或翻譯瑕疵,歐盟委員會會以「勘誤公告」(Corrigendum)方式修正。CRA條例目前已有以下更正文件:
|
更正編號 |
刊布日期 |
主要修正內容 |
|
Corrigendum B |
2025 年初(首次) |
§68增補EU
168/2013條例附錄II,
C1表格,增加保護車輛抵抗資安攻擊 |
|
Corrigendum C1, 2024/90780 |
2024 年12月5日 |
CRA條例標題字詞更正 |
|
Corrigendum C2, 2025/90555 |
2025 年7月2日 |
最重要的實質性修正:將 §64(10) 中「不適用第
3 至
9 段」改為「不適用第
2 至
9 段」,使微型企業、小型企業及開源軟體管理者免除 §64(2) 的罰款 |
|
Corrigendum C3(2025/90828) |
2025年10月17日 |
§67增補EU
2020/1828條例附錄I,添加CRA條例 |
實務重點提示:C2 更正條文的影響相當重要。若某個企業屬於微型企業(員工 < 10 人,年營收 < 200 萬歐元)或小型企業(員工 < 50 人,年營收 < 1,000 萬歐元),或從事開源軟體管理者(open-source
software steward),則依 §64(10) 更正後的版本,該組織可免除因違反 CRA 而受到 §64(2) 所列之行政罰則與罰鍰。此點對於亞洲中小型製造商及開源軟體的社群具有重要意義。
