TXOne 以製造業角度看《網路韌性法案CRA》：影響與行動指引

文章來源 / TXOne Official Blog

簡介

《網路韌性法案（Cyber Resilience Act，CRA）》已於2024年12月10日正式生效。儘管其主要規範將於2027年12月11日才開始適用，但相關通報義務將於2026年9月11日提前生效。CRA 為製造商與零售商引入強制性的資安要求，而本篇部落格將聚焦於製造商，並以2024年11月20日公布的版本為基礎，說明 CRA 的內容及製造商應採取的關鍵行動，以確保能及時遵循新法規。

CRA 的適用範圍

CRA（網路韌性法案）旨在保護購買含有數位元件之軟體或硬體產品的消費者與企業。製造商將被要求確保這些產品在歐盟境內的網路安全。為達此目標，製造商必須符合基本資安要求與相關義務。

該法規涵蓋所有直接或間接連接到其他設備或網路的帶有數位元件的產品。但是，存在特定的例外情況，例如某些開源軟體和基於服務的產品已受現有法規的約束。這些行業包括醫療設備、航空和汽車等行業。

具數位元件的產品範例包括筆記型電腦、智慧型手機、路由器、交換器及工業控制系統（ICS）。一些經常被忽略的產品還包括製造商以自家品牌免費提供的產品，以及商業用途的開源軟體。

CRA 時程與重要里程碑

儘管 CRA 已於2024年12月10日正式生效，製造商仍有時間準備以符合其基本資安要求與義務。以下為關鍵時間節點：

• 自2026年9月11日起 – 通報義務

  製造商必須立即報告其產品中任何被利用的數位元素漏洞，以及任何影響這些產品安全的嚴重事件。

  
  

• 自2027年12月11日起 – 強制遵循資安規範

  此日起，所有相關法規將全面適用。製造商需確保其產品完全符合 CRA 所規定的基本資安要求與義務。

基本資安要求與製造商義務

簡言之，製造商在產品進入歐盟市場前，必須完成以下步驟：

1. 技術文件（Technical documentation）說明產品如何符合資安要求，並須包含軟體物料清單（SBOM），詳細內容見 CRA 附錄 VII。

   
   

2. 合規評估程序（Conformity assessment）根據產品類別，評估可由製造商自評，或須經第三方公告機構進行。大多數重要與關鍵產品（如路由器、交換器、防火牆）須由第三方評估，詳見 CRA 附錄 III 與 IV。

   
   

3. 合格聲明（Declaration of conformity）證明產品已達成所有資安要求，如有公告機構介入，須列出其名稱與編號，詳見附錄 V。

   
   

4. 貼附 CE 標誌（Affixing the CE marking）製造商須根據（EC）第765/2008號規範第30條的一般原則貼附 CE 標誌，代表對產品符合相關歐盟法規負責。

   
   

   

   
   

五大分類詳解

1. 資安評估（Cybersecurity Assessment）產品須符合 CRA 基本資安要求，包含資安與漏洞處理機制，製造商需建立正式的資安評估程序。

   
   

2. 文件準備（Documents）包括技術文件、使用者說明、合格聲明與 SBOM。市場監管機構可要求提供 SBOM，但是否向使用者提供則由製造商自決。

   
   

3. 合規評估（Conformity Assessment）重要與關鍵產品須由第三方公告機構進行評估，其他產品則由製造商自我評估。各成員國須在2026年12月11日前確保公告機構數量充足。

   
   

4. 產品規範（Product Regulations）完成評估後，貼附 CE 標誌並承諾產品將獲得至少5年支援（若產品使用壽命不足5年，則應依其預期使用期提供支援）。每次安全更新須於支援期內提供，並持續至少10年，或至支援期結束，以較長者為準。

   
   

5. 通報義務（Reporting Obligations）製造商須透過 ENISA 設立的單一通報平台，及時通報產品中被主動利用的漏洞與重大資安事件。主動利用的漏洞指攻擊者利用產品缺陷對使用者造成實際損害的情況。若為善意測試則不屬強制通報範圍。重大事件則包含對製造、開發、維護流程造成干擾，如釋出安全更新的管道遭注入惡意碼。

製造商得知此類情況後，應於 24 小時內提交早期警告通知。

製造商後續建議行動

1. 確認產品是否落在 CRA 適用範圍與類別內

   凡可連接其他裝置或網路，且在 EU 銷售之產品，大多屬於 CRA 管轄。重要與關鍵產品須經公告機構評估。即使未於 EU 銷售，也建議遵循 CRA 要求，因其制定內容具高度通用性，有助未來符合其他法規。

   
   

2. 制定協調式漏洞揭露政策與通報演練機制

   製造商須建立聯絡管道以便第三方通報漏洞，並在修補後對外揭露資訊。建議制定「漏洞揭露」與「安全公告」政策，讓使用者與研究人員得以通報問題。

   
   

   根據 CRA，第14條規定當製造商發現漏洞或重大事件時，須於以下期限內完成通報流程：

   • 24 小時內：早期警示通知

   • 72 小時內：漏洞或事件正式通知

   • 14 天內（漏洞）或1個月內（重大事件）：最終報告（須包含事件描述、威脅類型或根本原因、處置與緩解措施）

   
   

   但因 OT 環境通常缺乏能見度，建議導入 SIEM（安全資訊與事件管理系統），提升整體監控能力。OT 環境需從「網路導向」轉為「資產導向」的防禦策略，整合網路防禦、端點保護與檢測回應能力。

   OT 資安部署重點如下：

   • 網路防火牆與入侵偵測/防禦系統（IPS/IDS）

   • 相容於舊設備的端點防護方案

   • 支援 OT 專屬通訊協定的網路設備

   
   

3. 辨識產品尚未滿足的資安要求，並建立正式評估流程

   製造商可參考 CRA 附錄 I 審視自家產品是否符合資安要求，例如建立 SBOM 等。為建立正式評估流程，可參考 ENISA 發布的 CRA 標準對照表：https://www.enisa.europa.eu/sites/default/files/2024-11/Cyber Resilience Act Requirements Standards Mapping – final_with_identifiers_0.pdf

   
   

結論

CRA 的主要規定將於2027年12月11日正式實施。作為 OT 資安領域的領導品牌，TXOne Networks 已主動完成所有產品的詳細審查，確保其網路與端點解決方案符合 CRA 資安要求，並實施完善的漏洞處理機制。

我們也積極參與多個國際 CERT 組織，並履行 CVE 編號機構（CNA）責任，以便及早掌握企業與產品的網路威脅情報。

對製造商而言，應及早準備 CRA 的通報義務（自 2026 年 9 月 11 日起生效）。一旦發生資安事件，製造商必須掌握事件本質、釐清威脅類型，並採取有效緩解措施。TXOne Networks 提供完整 OT 資安解決方案，包括專為 OT 設計的 SIEM 系統，可協助製造商即時偵測、分析與回應事件。結合 OT 專用防火牆、IPS 與端點防護等技術，有效對抗針對 OT 環境的各種威脅。