2025 CRA 合規現況調查:企業準備度與執行差距解析
歐盟《網路韌性法案》(Cyber Resilience Act,以下簡稱 CRA)將產品資安責任延伸至設計、開發、上市與後續維護階段。然而,企業「知道法規」不代表已經建立可執行的產品盤點、SBOM、漏洞管理與通報流程。
ONEKEY 發布的《2025 年物聯網與 OT 網路安全報告》以 300 家工業及製造相關企業為調查樣本,呈現企業對 CRA 的理解程度、內部組織準備、實際執行進度與 SBOM 建置狀況。本文將整理其中的重要發現,並說明企業現階段應優先補強哪些能力。
這份 CRA 調查告訴我們什麼?
從調查結果來看,企業目前主要面臨的問題不是完全沒有意識到 CRA,而是認知、組織與實際執行之間存在明顯落差。
部分企業已研究法規或成立工作小組,但尚未將 CRA 要求轉化為產品分類、軟體元件清冊、漏洞處理、事件通報及技術文件等可持續運作的流程。這代表企業即使已開始準備,仍可能停留在初步討論或單點改善階段。
CRA 合規不只是資安工具採購問題,而是產品、研發、資安、法遵與供應鏈共同參與的產品治理問題。
CRA 何時開始適用?三個重要日期
CRA 的不同義務分階段適用,不能只簡化為「2027 年正式上路」。企業應依各項義務的實施時間,提早完成內部流程與系統準備。
部分符合性評估機構規定適用
CRA 第 IV 章有關符合性評估機構通知與管理的相關規定開始適用。
漏洞與重大資安事件通報義務適用
CRA 第 14 條開始適用。製造商應在此之前建立漏洞辨識、內部升級、事件判斷與對外通報機制。
CRA 其餘主要規定全面適用
產品資安、製造商責任、技術文件與符合性評估等主要規定開始全面適用。
法規日期與適用要求請以 歐盟 Regulation (EU) 2024/2847 正式文本 及主管機關最新說明為準。
企業對 CRA 的理解仍不足以支撐實際執行
調查顯示,32% 的受訪者表示已充分掌握 CRA 的具體要求;另有 36% 曾進行初步研究,但仍未完全理解規範內容;27% 則表示對 CRA 不熟悉,或尚不清楚自身是否受到影響。
企業需要理解的不只是法規名稱
真正影響執行的問題包括:哪些產品落入適用範圍、企業在歐盟供應鏈中扮演什麼角色、產品屬於哪一種分類,以及需採取何種符合性評估程序。
如果這些基礎判斷尚未完成,後續的 SBOM、弱點管理與技術文件工作便可能缺乏清楚範圍,造成資源投入錯誤或遺漏受影響產品。
- 建立產品與版本清單
- 確認產品是否屬於含數位元素產品
- 釐清製造商、進口商或經銷商等角色
- 確認產品分類與可能採用的評估程序
部分企業已成立工作小組,但權責仍不清楚
調查顯示,28% 的企業已成立跨部門 CRA 工作小組,協調產品、研發、法務與資安等團隊;14% 已成立專責團隊,但仍有 32% 尚未建立任何形式的 CRA 工作小組。
由哪個部門主導 CRA?
在責任分工上,46% 的企業由 IT 或資安部門主導,21% 由合規部門統籌,16% 由法務部門負責;另外也有企業由管理階層、產品管理或研發團隊承擔相關工作。
這種分布反映 CRA 並不自然歸屬於單一部門。但如果沒有明確指定主要負責人,跨部門模式也可能出現工作重複、責任空白或事件發生後無人決策的問題。
| 部門或角色 | 建議負責內容 |
|---|---|
| 產品管理 | 確認適用產品、版本、支援期間及上市市場。 |
| 研發團隊 | 提供架構與元件資料,完成漏洞修復及版本驗證。 |
| 資安/PSIRT | 負責風險評估、漏洞處理、通報與持續監控。 |
| 法務/法遵 | 確認法規適用性、文件責任與對外通報要求。 |
| 供應鏈/採購 | 取得第三方元件、供應商安全及更新支援資訊。 |
| 管理階層 | 確認資源、責任、風險接受與重大事件決策機制。 |
企業實際導入進度落後於法規認知
調查結果顯示,只有 14% 的企業已啟動較完整的 CRA 合規措施;38% 僅完成內部討論、初步評估或部分準備,其餘受訪企業則尚未採取明確行動,或仍處於非常早期的階段。
政策層面同樣存在落差。只有 15% 的企業表示已專門針對 CRA 制定合規政策;34% 認為現有資安政策已足以涵蓋 CRA,另有 21% 尚未將 CRA 納入合規框架。
現有資安政策不一定等同 CRA 合規制度
一般資訊安全政策多半聚焦企業 IT 系統、資料保護或營運安全;CRA 則進一步要求產品本身的資安設計、弱點處理、技術文件、安全更新及上市後維護。
因此,企業不能只因已取得 ISO 27001 或擁有既有資安制度,就直接推論所有產品已符合 CRA。兩者可以互相支援,但涵蓋範圍與證據要求並不完全相同。
SBOM 建置與持續維護成為主要瓶頸
調查中有 29% 的受訪企業指出,建立軟體物料清單(Software Bill of Materials,SBOM),以及持續監控軟體元件與漏洞,是 CRA 準備過程中的主要挑戰之一。
SBOM 是什麼?
SBOM 可理解為軟體版本的零件清單,用來記錄產品使用的套件、函式庫、版本、供應商與其他元件資訊。當某個元件被揭露新漏洞時,企業可透過 SBOM 快速判斷哪些產品與韌體版本受到影響。
假設一家設備製造商有 20 款連網產品,其中多款韌體使用同一個第三方加密函式庫。當該函式庫出現新 CVE 時,完整的 SBOM 能協助團隊先找出受影響的產品與版本,再判斷實際可利用性與修復優先順序。
企業 SBOM 建置進度
這些結果說明,企業的困難不只是產生第一份元件清單,而是如何涵蓋所有產品、對應不同韌體版本,並在元件更新或新漏洞出現後持續維護。
- 先從仍在銷售或更新中的高風險產品開始
- 統一元件名稱、版本與供應商資料格式
- 將 SBOM 更新納入韌體發布流程
- 建立元件與 CVE 的持續比對機制
- 保留元件變更、弱點判斷與修復紀錄
漏洞通報的挑戰在於企業缺少完整事件流程
CRA 對遭積極利用的漏洞及影響產品安全的重大事件設有通報要求。真正的執行難點,不只是知道「需要通報」,而是企業能否及時確認事件、找出受影響產品、完成內部升級並準備必要資訊。
24 小時是早期預警,不是全部報告
CRA 第 14 條採分階段通報。製造商需在知悉遭積極利用漏洞或重大資安事件後,依規定提出早期預警,並在後續階段補充通知與最終報告。
因此,企業需要建立的不只是「24 小時內寄出通知」,而是一套能完成事件辨識、影響分析、管理升級、對外通報與使用者通知的內部機制。
- 接收:建立內部及外部弱點揭露管道。
- 驗證:確認漏洞是否存在及是否已遭積極利用。
- 定位:透過產品清冊與 SBOM 找出受影響版本。
- 升級:由資安、法遵與管理階層共同判斷通報責任。
- 處理:制定修復、緩解、通報及使用者通知方案。
- 追蹤:保存事件、修復與後續改善紀錄。
企業現階段應優先完成的六項準備
調查顯示,多數企業的問題並非完全沒有行動,而是各項工作分散、涵蓋不完整,或缺乏明確負責人。現階段可依下列順序建立基礎。
確認適用範圍
盤點產品、企業角色、產品分類及其他相關法規。
建立跨部門團隊
指定主要負責人、工作範圍、決策及事件升級機制。
建立產品與 SBOM 清冊
掌握產品版本、軟體元件、供應商及開源套件資訊。
進行合規差距評估
比較既有流程與 CRA 在產品安全、文件及維護上的要求。
建立弱點與通報流程
明確定義接收、驗證、修復、通報及使用者通知方式。
導入持續監控
追蹤新 CVE、產品版本、安全更新與改善紀錄。
企業如何把 CRA 要求轉化為實際流程?
進一步查看產品盤點、SBOM、漏洞評估、事件通報與技術文件的完整執行方式。
產品數量增加後,為什麼需要自動化管理?
如果企業只有少量產品與固定韌體版本,部分資料或許仍可透過人工方式維護。但當產品、版本、元件與供應商數量增加後,人工試算表容易出現版本不同步、資料遺漏與漏洞追蹤困難。
自動化平台可以協助企業進行韌體解析、SBOM 管理、CVE 比對、漏洞影響評估與改善紀錄追蹤。不過,工具不能取代企業對產品分類、法規責任及符合性評估方式的正式判斷。
集中管理韌體、SBOM 與產品資安風險
了解 ONEKEY 如何協助 IoT/OT 設備製造商分析韌體、辨識軟體元件、追蹤漏洞與管理 CRA 合規流程。
CRA 合規常見問題
企業現在才開始準備 CRA 會太晚嗎?
是否來得及取決於產品數量、韌體複雜度、現有資安流程與符合性評估方式。由於漏洞通報義務自 2026 年 9 月 11 日開始適用,企業應優先建立產品清冊、事件判斷與通報流程,再逐步補齊其他工作。
已有 ISO 27001 是否代表符合 CRA?
不代表。ISO 27001 可支援企業資訊安全管理,但 CRA 聚焦含數位元素產品的設計、開發、弱點處理、技術文件與上市後維護。兩者有部分交集,但不能互相直接取代。
CRA 合規應由資安、法務還是產品部門主導?
CRA 涉及產品、研發、資安、法遵與供應鏈,較適合由跨部門團隊共同執行。但企業仍應指定一位主要負責人,避免出現責任分散、工作重複或重大事件無人決策。
建立一次 SBOM 就完成 CRA 準備了嗎?
沒有。SBOM 必須與產品、韌體版本及後續元件變更保持一致,並持續比對新漏洞。企業還需要建立風險評估、弱點處理、技術文件、事件通報與安全更新等流程。
CRA 是否適用所有 IoT 與 OT 設備?
CRA 涵蓋範圍廣,但不能直接推論所有 IoT/OT 產品都採取完全相同的合規程序。企業仍需確認產品是否落入適用範圍、產品分類,以及是否受到其他歐盟特定法規規範。
使用自動化工具就代表產品已符合 CRA 嗎?
不代表。工具可協助完成韌體分析、SBOM、漏洞管理與紀錄追蹤,但無法自動取代企業的法規責任、技術文件、符合性評估與正式決策。