前情提要
在本系列文章的前三期中,我們已分別說明 CRA 的適用範圍、整體影響、率先生效的漏洞通報義務,以及網路安全風險評估與管理機制的運作方式。
2026 年 9 月 11 日報告義務適用日期逐步接近,企業的 CRA 合規準備已不應再停留於「發現漏洞後進行通報」,更關鍵的課題在於:企業是否已能將既有資安活動轉化為可被稽核、可被驗證、可被證明的合規流程。
根據歐盟委員會公開說明,CRA 已於 2024 年 12 月 10 日正式生效,主要義務將自 2027 年 12 月 11 日起全面適用,其中通報義務則提前至 2026 年 9 月 11 日開始實施。
CRA 對製造商的要求涵蓋產品規劃、設計、開發、生產、交付與維護各階段,並延伸至整體價值鏈管理。這代表 CRA 合規不是一次性的文件整理,也不只是建立漏洞通報機制,而是要求企業建立一套可支撐產品全生命週期的治理與證明能力。
如果說風險評估是 CRA 合規的起點,那麼技術文件、符合性評估、歐盟符合性聲明與 CE 標誌,就是企業將成果正式轉化為市場准入資格的重要環節。
一、CRA 合規的核心:不只是「做到」,而是「證明做到」
企業常見的既有資安管理實務中,研發、資安、測試、維運、法務與合規團隊往往各自管理不同類型的文件與紀錄。研發團隊負責架構設計與版本資訊;資安團隊管理漏洞掃描與滲透測試結果;供應鏈團隊維護第三方元件清單;法務與合規團隊負責使用者條款與合規聲明;售後團隊則持續追蹤漏洞回報與客戶通知紀錄。
這些資料本身固然重要,但在 CRA 架構下,僅有分散的文件仍不足以支撐合規要求。企業真正需要建立的,是一條從 「要求」到「措施」、再到「證據」的可追溯鏈條。
換言之,企業不僅需要說明產品採取了哪些資安措施,更需要能清楚對應:這些措施回應 CRA 的哪些基本網路安全要求、依據何種風險評估結果採行、由哪個部門負責,以及透過哪些測試、驗證紀錄或技術文件來證明其有效性,同時確保產品於支援期間能持續維護與更新。
歐盟委員會於 CRA 說明中明確指出,製造商在設計、開發與生產具有數位元素的產品時,需確保產品符合基本網路安全要求;為此,製造商需執行網路安全風險評估,並將 風險評估結果及用於落實基本要求的手段納入技術文件。
在產品正式投放市場前,製造商仍需完成符合性評估程序,後續出具歐盟符合性聲明並加貼 CE 標誌。
這正是本期最希望提醒企業的核心:CRA 合規不再是「資安團隊內部認為已足夠安全」,而是企業是否能向市場監督機構、進口商、經銷商、客戶,以及必要時的公告機構(Notified Body),證明產品符合要求。
二、技術文件是 CRA 合規證據鏈的核心載體
根據 CRA 第 31 條規定,技術文件應包含製造商用於證明產品及其相關流程符合附件 I 基本網路安全要求的所有相關資料與內容;技術文件須於產品投放市場前完成建立,並在適用情況下,至少於產品支援期間持續維護與更新。
這代表技術文件並非產品上市前臨時整理的一份「合規報告」,而應作為伴隨產品開發、測試、發行與維護過程持續累積的管理成果與證據基礎。對企業而言,一份完整的技術文件至少應回答以下四個問題:
- 產品是什麼——包含產品一般說明、預期用途,以及可能影響合規判定的軟體版本資訊
- 產品面臨哪些網路安全風險——包含網路安全風險評估結果與風險判斷依據
- 企業採取了哪些措施——包含設計、開發、生產、漏洞處理與更新機制
- 如何證明這些措施符合 CRA 要求——包含測試報告、SBOM、符合性聲明等佐證文件
從 CRA 附件 VII 的要求來看,技術文件至少應涵蓋:產品一般說明與預期用途、設計開發與生產資訊、漏洞處理流程、SBOM(軟體物料清單)、協調漏洞揭露政策、安全更新發布方案、網路安全風險評估、支援期間判定依據、適用標準或替代技術方案、測試報告,以及歐盟符合性聲明等內容。
這也對企業提出一項非常實際的挑戰:CRA 技術文件不可能完全由法務或合規部門獨力完成,而需要產品、研發、資安、測試、維運、供應鏈、售後、法務與合規團隊共同參與與提供資料。
企業越早建立統一的文件架構與證據歸集機制,後續面對符合性評估與市場監督時的準備成本就越低;反之,若等到產品上市前才回頭補齊資料,容易出現版本資訊不一致、風險判斷缺漏、測試證據不足、供應商資料取得困難,以及使用者說明與實際支援政策不一致等問題。
三、符合性評估決定能否順利完成市場准入
CRA 下的符合性評估,是用於確認產品是否符合附件 I 基本網路安全要求的重要程序。
從企業實務角度來看,符合性評估至少涉及兩個層面的判斷:
- 第一層:產品分類判斷——確認產品屬於一般產品、重要產品或關鍵產品
- 第二層:評估路徑選擇——判斷是否可採用內部控制程序進行自我評估,或需透過公告機構(Notified Body)進行第三方評估,亦或採用歐洲網路安全認證方案
CRA 第 32 條列出了不同的符合性評估路徑,包括內部控制程序、EU 型式檢驗加內部生產控制、完整品質保證,以及在可用且適用情況下採用歐洲網路安全認證方案。
對部分重要產品或關鍵產品而言,企業可能無法選擇最輕量的自我評估方式,而需進一步進入第三方評估或更高強度的認證程序。
這也代表,企業現在就應開始盤點產品組合,而非等到 2027 年底主要義務全面適用前才進行產品分類判定。
尤其對擁有多條產品線、多版本軟體、軟硬體整合產品、具備雲端遠端資料處理能力,或高度依賴第三方元件的企業而言,更應提前建立產品分類台帳,評估哪些產品可能落入重要產品或關鍵產品範圍、哪些需要預留公告機構評估時程,以及哪些可透過內部控制程序完成符合性評估。
四、建立「要求-措施-證據-責任人」矩陣
對多數企業而言,CRA 技術文件與符合性評估最大的挑戰,往往不在於缺乏資安能力,而在於如何將既有能力有效對應法規要求,並轉化為可被驗證的合規依據。
企業可能已具備漏洞掃描、程式碼審查、滲透測試、日誌監控、供應鏈管理、修補程式(Patch)發布等機制;但若這些活動無法回應 CRA 的具體要求,也未形成一致且可追溯的證據,就難以在符合性評估或監管查核中發揮實際作用。
因此,建議企業針對每一類產品建立「要求-措施-證據-責任人」矩陣:
CRA「要求-措施-證據-責任人」矩陣
| 欄位 | 說明 |
|---|---|
| CRA 要求 | 列明 CRA 附件 I 中適用的基本網路安全要求。 |
| 控制措施 | 企業針對該要求所採取的具體控制措施。 |
| 證據資料 | 風險評估報告、架構圖、威脅建模紀錄、測試報告、SBOM、漏洞處理紀錄、修補程式發布紀錄、使用者通知與供應商資安資料等。 |
| 責任人 | 證據的責任部門、更新頻率與保存位置。 |
這份矩陣的價值在於,能將 CRA 合規從抽象的法規要求,轉化為企業內部可執行、可分工、可稽核的工作清單。
對研發團隊而言,它能清楚對應設計決策與測試結果如何支撐合規要求;對資安團隊而言,可說明漏洞管理與偵測活動如何形成證據;對供應鏈團隊而言,可協助建立第三方元件與供應商資料的持續維護機制;對法務與合規團隊而言,則可作為判斷聲明內容、使用者資訊揭露與市場溝通是否一致的重要基礎。
五、110 天倒數階段,企業最應優先完成什麼
距離 CRA 報告義務正式適用僅剩約四個月,企業不可能一次完成所有合規建設,但仍可優先聚焦以下五項關鍵基礎工作,為後續符合性評估與市場准入做好準備。
1. 建立產品適用性與分類台帳
盤點哪些產品屬於「具有數位元素的產品」、哪些已於歐盟市場供應、哪些計畫進入歐盟市場,以及哪些涉及遠端資料處理能力或開源依賴,並初步評估是否可能落入重要產品或關鍵產品類別。
2. 建立技術文件目錄與證據歸集機制
不應等到正式進入符合性評估階段才開始整理資料,而應依據 CRA 第 31 條與附件 VII 提前建立統一文件架構,明確各類資料的提供單位、更新頻率、保存位置,以及與產品版本之間的對應關係。
3. 完善風險評估與控制措施的對應關係
風險評估結果不應獨立存在,而應進一步落實至資安設計、測試驗證、漏洞處理、供應鏈管理、安全更新機制與使用者資訊揭露,形成完整且可追溯的執行依據。
4. 提前規劃符合性評估路徑
提前判斷哪些產品可採用自我評估、哪些需導入第三方評估,同時評估是否需要追蹤協調標準(Harmonised Standards)、通用規範或歐洲網路安全認證方案的最新進展。對可能需公告機構參與的產品,也應及早預留評估時程與相關預算。
5. 確保使用者資訊、支援期承諾與漏洞處理流程一致
CRA 要求製造商向使用者提供必要資訊與使用說明,其中亦包含產品支援期結束日期。若企業對外揭露的支援承諾、內部漏洞修復能力、安全更新機制與技術文件內容彼此不一致,將可能形成後續符合性評估與監管查核的風險缺口。
六、結語:從「合規專案」走向「產品治理能力」
歐盟 CRA 為企業帶來的真正改變,不只是新增一套歐洲市場准入規則,更是在推動企業重新將網路安全納入產品治理的核心流程。
過去,資安活動可能更多被視為研發階段的技術要求,或漏洞事件發生後的應變措施;但在 CRA 要求下,資安設計、風險評估、漏洞處理、供應鏈管理、使用者資訊揭露、技術文件與符合性評估,將共同成為產品能否順利進入並持續符合歐盟市場要求的重要基礎。
因此,本期最重要的結論可以歸納為:CRA 合規的下一步,不再只是完成一份風險評估報告,而是將風險評估結果、技術措施與組織流程,逐步轉化為可追溯、可驗證、可被證明的完整合規證據鏈。
對於布局海外市場的企業而言,越早建立這套證據能力,就越能在 2026 年報告義務適用後,更從容地因應漏洞事件;也能在 2027 年主要義務全面適用前,更順利完成符合性評估、歐盟符合性聲明與 CE 標誌相關準備。
反之,若仍將 CRA 理解為單一的「漏洞通報規則」,而忽略技術文件與符合性評估的整體要求,即使短期內能回應個別事件,長期仍可能在市場准入、監管查核、客戶盡職調查與供應鏈合作過程中,面臨更高的不確定性與風險。
瞭解ONEKEY韌體安全與合規平台
ONEKEY 自動化韌體安全與 SBOM 管理平台
自動化掃描 × 漏洞合規化,打造穿透式物聯網資安防禦網
宏虹 ONEKEY 平台專為全球智慧製造與 IoT 供應鏈場景打造,透過無須源碼的二進位掃描與雲端自動化分析,協助企業在產品生命週期中即時掌握資安風險,建立可量化、可審核的軟體清單(SBOM),降低合規成本與資安風險。
全自動化二進位掃描: 無須取得原始碼,即可分析韌體並識別已知漏洞(CVE)。
零迷霧 SBOM 管理: 自動生成符合國際標準(SPDX/CycloneDX)的軟體物料清單。
即時漏洞關聯分析: 同步蒐集全球資安威脅情資,精準對應產品受威脅狀態。
合規性與認證支援: 提供符合歐盟 CRA 或美國行政命令的合規檢測報告。
數位孿生資安技術: 以無須設備實體的方式,進行虛擬化的穿透測試與驗證。
多產業應用場景: 適用於工業控制、醫療器材、車用電子與智慧零售設備。
