前言
隨著歐盟《網路韌性法案》(Cyber Resilience Act, CRA)正式進入倒數,企業在產品資安與法規合規上所面臨的壓力日益增加。根據《2025 年物聯網與 OT 網路安全報告》調查顯示,目前僅 32% 的企業真正理解 CRA 的具體要求,而已啟動完整合規措施的企業比例更只有 14%,顯示多數企業對 CRA 的認知與執行仍明顯不足。
ONEKEY 本次發布的報告以 300 家工業與製造相關企業為樣本,透過可驗證的實際數據揭示各企業在 CRA 合規進度上的真實狀態。從結果可見,多數企業仍存在「知道法規」與「落實行動」之間的落差。隨著 CRA 進入最後實施階段,企業亟需加快腳步,補齊對法規理解、資安治理流程以及合規實施上的缺口,以避免未來在產品出口、供應鏈合作以及市場合規性上受到影響。
一、CRA 法規的出台背景
在全球加速推動數位轉型的過程中,物聯網(IoT)、工業控制系統(ICS)等技術已深度融入製造、交通、能源、醫療等產業。然而,數位化所帶來的安全風險同樣快速攀升。根據德國聯邦資訊安全辦公室(BSI)與刑事警察局(BKA)統計,2024 年德國因網路犯罪造成的經濟損失估計高達 1,786 億歐元,較前一年再增加 304 億歐元,顯示整體安全情勢仍呈惡化趨勢。
在這樣的背景下,歐盟正式推出《網路韌性法案》(Cyber Resilience Act, CRA)。CRA 是歐盟第一部涵蓋整個 ICT/IoT 產品領域的強制性資安法規,用以補足過去在數位產品安全監管上的制度缺口。法規將直接適用於所有歐盟會員國,並以強制方式執行。
CRA 重要時程:
2026 年 9 月:首波合規義務生效
2027 年:所有要求全面實施
屆時,凡未符合 CRA 規範的 IoT 裝置、設備機台、軟硬體系統,都將不得進入或銷售於歐盟市場。企業若未達成法規要求,可能面臨 最高 1,500 萬歐元 或 全球營收 2.5% 的高額罰款(採較高者),甚至可能牽涉董事會、高階主管或相關負責人的個人責任。雖然已有部分企業開始進行 CRA 合規準備,但調查顯示,大多數企業距離完整符合 CRA 要求仍有相當大的落差。面對法規倒數計時,各產業需加速補齊資安治理與流程建置,以避免在歐盟市場競爭中陷入不利位置。
二、CRA 法規的核心義務與企業責任
《網路韌性法案》(CRA)對製造商、供應商與經銷商提出了一套明確且具強制性的安全要求,其核心精神為:安全必須從產品設計階段開始,並貫穿整個產品生命週期。這項規範同時延伸到產品的整個生命週期,企業必須確保產品在使用期間始終能防範未授權存取、維持資料完整性與機密性,也不會因安全事件而中斷核心功能。
CRA 也特別強調漏洞通報時效性。一旦發現遭攻擊者利用的弱點,或出現足以影響產品安全的重大事件,製造商必須在 24 小時內向 ENISA(歐洲網路安全局)及各國 CSIRT 回報。這項規定被視為 CRA 最具挑戰性的義務之一,因為企業需要具備即時監測與快速反應的能力。
在產品上市後,供應商仍需負責維持長期安全性,包括持續發布安全更新、修補已知漏洞,以及提供完整透明的產品文件。這份文件必須包含 SBOM(軟體物料清單),讓使用者與主管機關能追溯產品中所有軟體組件的來源與風險。對多數產品生命週期動輒跨越數年的製造業而言,這項要求意味著安全維護責任被正式制度化,也為企業在 CRA 合規上的進度帶來一定壓力。
整體來說,CRA 不僅是法規要求,更重新定義了「網路安全」在產品設計、維運與售後服務中的角色。企業若未能及早展開準備,未來將面臨更高的合規成本與市場風險。
三、CRA 法規的合規現況
從最新的《2025 年物聯網與 OT 網路安全報告》可以看出,多數企業對 CRA 的理解仍遠不足以支撐完整的合規行動。調查結果顯示,只有約三分之一(32%)的企業明確掌握 CRA 的核心要求;另有約三成企業雖曾研究法規,但仍停留在概念層次;甚至有將近三成(27%)完全不清楚 CRA 的內容與影響。這樣的認知落差,已成為企業邁向合規的首要障礙。
認知程度不足:企業對 CRA 要求仍存在重大落差
從《2025 年物聯網與 OT 網路安全報告》的數據來看,企業在 CRA 相關知識上的理解程度明顯不足。僅有約三分之一(32%)的受訪者表示完全掌握 CRA 的具體要求;另有 36% 雖然做過初步調查,但仍未真正理解規範內容;其餘 27% 則坦言對 CRA 完全不熟悉,甚至不了解自身是否會受到影響。
在認知不足的情況下,真正開始著手建立 CRA 合規機制的企業更是有限。目前僅有 28% 的企業成立了跨部門工作小組,協調產品、研發、法務與資安等團隊投入 CRA 的合規準備;另外 14% 則進一步成立專責團隊,全程負責合規執行。然而,仍有高達三分之一(32%)的企業尚未建立任何形式的 CRA 工作組,顯示多數組織在 CRA 合規的準備程度上仍相當落後。
整體而言,企業不僅在 CRA 的理解上存在明顯差距,在內部治理與組織準備上也仍有大片空白,未來若無加速投入,極可能在法規正式生效後承受合規壓力甚至市場風險。
實施進度緩慢
從調查結果來看,企業在 CRA 的實際落地進度明顯落後。只有 14% 的企業已經啟動完整且全面的合規措施,確保旗下的物聯網設備、機器設備與系統能符合 CRA 的要求。另有 38% 的企業僅進行了初步準備,如內部討論或初階評估,但尚未建立制度化流程。其餘超過一半的企業至今尚未採取任何與 CRA 有關的行動,顯示整體產業在面對歐盟新規時仍處於早期階段。
在政策制定方面,情況同樣不甚樂觀。專門為 CRA 制定合規政策的企業比例僅有 15%,明顯偏低;相對地,有 34% 的受訪者認為現有的資安政策已足以涵蓋 CRA 需求,但這樣的認知可能與實際要求存在落差。此外,仍有 21% 的企業完全沒有將 CRA 納入其合規框架,顯示對新法規的重要性與影響性仍缺乏充分認識。
整體而言,CRA 的推動進度遠落後於法規強制生效的時程。企業若持續延遲,勢必面臨產品無法輸入歐盟市場、甚至高額罰則等風險,因此現在正是加速補強內部政策與合規流程的關鍵時刻。
近 30% 的企業受困於 SBOM:透明度要求成最大瓶頸
在 CRA 的各項義務中,企業普遍認為最具挑戰性的,是「必須在 24 小時內通報安全事件」的規範,其次是產品設計階段就需落實「安全設計」與「預設安全」原則。而其中有 29% 的受訪企業特別指出,最困難的部分其實是「建立軟體物料清單(SBOM),以及後續對所有軟體元件與漏洞進行持續監控的要求」。
SBOM(Software Bill of Materials)可視為軟體版的「零件清單」,內容涵蓋程式庫、套件依賴與版本資訊,是提升軟體透明度、縮短漏洞分析時間的重要基礎。缺少 SBOM 時,企業難以快速判斷一個安全漏洞是否會影響自身產品,進而延誤修補時機。因此,建立標準化、可持續維護的 SBOM 流程,是提高產品韌性與強化資安治理的關鍵步驟,尤其是在大量設備佈署且更新頻繁的生產環境中更是如此。
值得注意的是,雖然已有 44% 的企業著手建立 SBOM,但真正完成所有產品 SBOM 建置的企業僅佔 12%;另有 32% 的企業只針對部分產品建立 SBOM。仍有 25% 尚未開始,且另一個 25% 的受訪者甚至認為自身不會受到影響,或對 CRA 中 SBOM 的責任範圍尚未完全理解。
整體來看,SBOM 已成為企業在 CRA 合規道路上的主要卡點,顯示各組織在軟體資產透明化與漏洞治理流程上,仍存在明顯落差。現在啟動 SBOM 建置,仍是企業趕上 CRA 時程的關鍵時機。
安全責任分工模糊,企業內部角色界線不清
在被問及「究竟由誰負責確保企業符合 CRA(網路韌性法案)要求」時,多數企業的回答呈現高度分散,顯示當前組織內部在責任歸屬上仍缺乏明確共識。
調查結果顯示,約有 46% 的企業由 IT 資安部門主導 CRA 合規工作;21% 交由合規部門統籌;16% 由法務部門負責;另有 18% 的企業由最高管理層直接主導,甚至有 15% 的企業將 CRA 合規責任交給產品研發團隊。整體而言,多數企業採取的是多部門共同推動的模式,但責任邊界並未被清楚界定。
在具體負責人角色上,同樣呈現類似的分散狀況。18% 的企業將 CRA 合規職責指派給產品經理;17% 指派給合規經理;15% 指派給 CISO(首席資訊安全官);11% 交由資安分析師處理;另外有 8% 由軟體開發主管承擔相關任務。這種角色分布反映出企業在 CRA 合規準備上,部門與職能之間可能存在重複、空白或交叉管理的情況。
換言之,雖然企業已開始意識到 CRA 帶來的壓力並試圖建立內部責任鏈,但目前大多仍未形成清晰、一致、可落地的權責配置,未來若不及時調整,將可能在 CRA 正式上路後造成內部協作與合規執行上的瓶頸。
四、行動建議:企業如何在 CRA 最後倒數階段完成關鍵布局
在 CRA 即將正式上路的此刻,企業面對的已非單一合規事項,而是一場橫跨產品生命週期的「安全體質檢驗」。從設計、開發、供應鏈到漏洞管理,各環節都需導入安全設計、建立可持續維護的 SBOM,並提升產品透明度與風險可追溯性。越早開始準備的企業,越能有效降低未來的法遵成本。
合規不僅是義務,更是重建競爭力的契機。當產品具備足夠的安全韌性,企業更容易取得國際市場信任、順利進入歐盟供應鏈。反之,若無法在期限內達標,不僅面臨退出市場的風險,也可能承受罰款與商譽受損的長期衝擊。
CRA 是全球供應鏈資安要求提升的分水嶺。能及早佈局、落實漏洞管理、維護 SBOM 並強化跨部門協作的企業,將最先跨越合規門檻,並把合規轉化為市場信任與品牌競爭力的核心優勢。
若您希望更深入了解 CRA 法規要求、SBOM 建置流程,或評估企業目前的合規成熟度,我們可協助您導入 ONEKEY 自動化安全分析平台,強化產品韌性、縮短合規時程,讓您的 IoT/OT 系統在面對 2026 年歐盟新制時保持競爭力!
