宏虹分享|CRA 合規現況調查:企業準備度、SBOM 挑戰與行動建議

ONEKEY 2025 IoT & OT Cybersecurity Report

2025 CRA 合規現況調查:企業準備度與執行差距解析

歐盟《網路韌性法案》(Cyber Resilience Act,以下簡稱 CRA)將產品資安責任延伸至設計、開發、上市與後續維護階段。然而,企業「知道法規」不代表已經建立可執行的產品盤點、SBOM、漏洞管理與通報流程。

ONEKEY 發布的《2025 年物聯網與 OT 網路安全報告》以 300 家工業及製造相關企業為調查樣本,呈現企業對 CRA 的理解程度、內部組織準備、實際執行進度與 SBOM 建置狀況。本文將整理其中的重要發現,並說明企業現階段應優先補強哪些能力。

32% 表示充分掌握 CRA 具體要求
14% 已啟動完整合規措施
12% 已完成所有產品的 SBOM

這份 CRA 調查告訴我們什麼?

從調查結果來看,企業目前主要面臨的問題不是完全沒有意識到 CRA,而是認知、組織與實際執行之間存在明顯落差。

部分企業已研究法規或成立工作小組,但尚未將 CRA 要求轉化為產品分類、軟體元件清冊、漏洞處理、事件通報及技術文件等可持續運作的流程。這代表企業即使已開始準備,仍可能停留在初步討論或單點改善階段。

核心觀察

CRA 合規不只是資安工具採購問題,而是產品、研發、資安、法遵與供應鏈共同參與的產品治理問題。

資料閱讀提醒: 本文引用的比例來自 ONEKEY 公布的調查結果。不同題目可能採複選、四捨五入或排除未回答者,因此部分比例不一定合計為 100%。解讀時應以各題的受訪條件與原始報告說明為準。

CRA 何時開始適用?三個重要日期

CRA 的不同義務分階段適用,不能只簡化為「2027 年正式上路」。企業應依各項義務的實施時間,提早完成內部流程與系統準備。

2026 年 6 月 11 日

部分符合性評估機構規定適用

CRA 第 IV 章有關符合性評估機構通知與管理的相關規定開始適用。

2026 年 9 月 11 日

漏洞與重大資安事件通報義務適用

CRA 第 14 條開始適用。製造商應在此之前建立漏洞辨識、內部升級、事件判斷與對外通報機制。

2027 年 12 月 11 日

CRA 其餘主要規定全面適用

產品資安、製造商責任、技術文件與符合性評估等主要規定開始全面適用。

法規日期與適用要求請以 歐盟 Regulation (EU) 2024/2847 正式文本 及主管機關最新說明為準。

發現 1

企業對 CRA 的理解仍不足以支撐實際執行

調查顯示,32% 的受訪者表示已充分掌握 CRA 的具體要求;另有 36% 曾進行初步研究,但仍未完全理解規範內容;27% 則表示對 CRA 不熟悉,或尚不清楚自身是否受到影響。

充分掌握 CRA 要求 32%
僅完成初步研究 36%
對 CRA 不熟悉或不清楚影響 27%

企業需要理解的不只是法規名稱

真正影響執行的問題包括:哪些產品落入適用範圍、企業在歐盟供應鏈中扮演什麼角色、產品屬於哪一種分類,以及需採取何種符合性評估程序。

如果這些基礎判斷尚未完成,後續的 SBOM、弱點管理與技術文件工作便可能缺乏清楚範圍,造成資源投入錯誤或遺漏受影響產品。

建議優先行動
  • 建立產品與版本清單
  • 確認產品是否屬於含數位元素產品
  • 釐清製造商、進口商或經銷商等角色
  • 確認產品分類與可能採用的評估程序
發現 2

部分企業已成立工作小組,但權責仍不清楚

調查顯示,28% 的企業已成立跨部門 CRA 工作小組,協調產品、研發、法務與資安等團隊;14% 已成立專責團隊,但仍有 32% 尚未建立任何形式的 CRA 工作小組。

28% 成立跨部門工作小組
14% 成立專責合規團隊
32% 尚未建立 CRA 工作小組

由哪個部門主導 CRA?

在責任分工上,46% 的企業由 IT 或資安部門主導,21% 由合規部門統籌,16% 由法務部門負責;另外也有企業由管理階層、產品管理或研發團隊承擔相關工作。

這種分布反映 CRA 並不自然歸屬於單一部門。但如果沒有明確指定主要負責人,跨部門模式也可能出現工作重複、責任空白或事件發生後無人決策的問題。

部門或角色 建議負責內容
產品管理 確認適用產品、版本、支援期間及上市市場。
研發團隊 提供架構與元件資料,完成漏洞修復及版本驗證。
資安/PSIRT 負責風險評估、漏洞處理、通報與持續監控。
法務/法遵 確認法規適用性、文件責任與對外通報要求。
供應鏈/採購 取得第三方元件、供應商安全及更新支援資訊。
管理階層 確認資源、責任、風險接受與重大事件決策機制。
發現 3

企業實際導入進度落後於法規認知

調查結果顯示,只有 14% 的企業已啟動較完整的 CRA 合規措施;38% 僅完成內部討論、初步評估或部分準備,其餘受訪企業則尚未採取明確行動,或仍處於非常早期的階段。

已啟動完整措施 14%
僅完成初步準備 38%

政策層面同樣存在落差。只有 15% 的企業表示已專門針對 CRA 制定合規政策;34% 認為現有資安政策已足以涵蓋 CRA,另有 21% 尚未將 CRA 納入合規框架。

現有資安政策不一定等同 CRA 合規制度

一般資訊安全政策多半聚焦企業 IT 系統、資料保護或營運安全;CRA 則進一步要求產品本身的資安設計、弱點處理、技術文件、安全更新及上市後維護。

因此,企業不能只因已取得 ISO 27001 或擁有既有資安制度,就直接推論所有產品已符合 CRA。兩者可以互相支援,但涵蓋範圍與證據要求並不完全相同。

發現 4

SBOM 建置與持續維護成為主要瓶頸

調查中有 29% 的受訪企業指出,建立軟體物料清單(Software Bill of Materials,SBOM),以及持續監控軟體元件與漏洞,是 CRA 準備過程中的主要挑戰之一。

SBOM 是什麼?

SBOM 可理解為軟體版本的零件清單,用來記錄產品使用的套件、函式庫、版本、供應商與其他元件資訊。當某個元件被揭露新漏洞時,企業可透過 SBOM 快速判斷哪些產品與韌體版本受到影響。

簡單案例

假設一家設備製造商有 20 款連網產品,其中多款韌體使用同一個第三方加密函式庫。當該函式庫出現新 CVE 時,完整的 SBOM 能協助團隊先找出受影響的產品與版本,再判斷實際可利用性與修復優先順序。

企業 SBOM 建置進度

12% 已完成所有產品 SBOM
32% 僅針對部分產品建立 SBOM
25% 尚未開始建立 SBOM

這些結果說明,企業的困難不只是產生第一份元件清單,而是如何涵蓋所有產品、對應不同韌體版本,並在元件更新或新漏洞出現後持續維護。

SBOM 導入建議
  • 先從仍在銷售或更新中的高風險產品開始
  • 統一元件名稱、版本與供應商資料格式
  • 將 SBOM 更新納入韌體發布流程
  • 建立元件與 CVE 的持續比對機制
  • 保留元件變更、弱點判斷與修復紀錄
發現 5

漏洞通報的挑戰在於企業缺少完整事件流程

CRA 對遭積極利用的漏洞及影響產品安全的重大事件設有通報要求。真正的執行難點,不只是知道「需要通報」,而是企業能否及時確認事件、找出受影響產品、完成內部升級並準備必要資訊。

24 小時是早期預警,不是全部報告

CRA 第 14 條採分階段通報。製造商需在知悉遭積極利用漏洞或重大資安事件後,依規定提出早期預警,並在後續階段補充通知與最終報告。

因此,企業需要建立的不只是「24 小時內寄出通知」,而是一套能完成事件辨識、影響分析、管理升級、對外通報與使用者通知的內部機制。

  1. 接收:建立內部及外部弱點揭露管道。
  2. 驗證:確認漏洞是否存在及是否已遭積極利用。
  3. 定位:透過產品清冊與 SBOM 找出受影響版本。
  4. 升級:由資安、法遵與管理階層共同判斷通報責任。
  5. 處理:制定修復、緩解、通報及使用者通知方案。
  6. 追蹤:保存事件、修復與後續改善紀錄。

企業現階段應優先完成的六項準備

調查顯示,多數企業的問題並非完全沒有行動,而是各項工作分散、涵蓋不完整,或缺乏明確負責人。現階段可依下列順序建立基礎。

01

確認適用範圍

盤點產品、企業角色、產品分類及其他相關法規。

02

建立跨部門團隊

指定主要負責人、工作範圍、決策及事件升級機制。

03

建立產品與 SBOM 清冊

掌握產品版本、軟體元件、供應商及開源套件資訊。

04

進行合規差距評估

比較既有流程與 CRA 在產品安全、文件及維護上的要求。

05

建立弱點與通報流程

明確定義接收、驗證、修復、通報及使用者通知方式。

06

導入持續監控

追蹤新 CVE、產品版本、安全更新與改善紀錄。

產品數量增加後,為什麼需要自動化管理?

如果企業只有少量產品與固定韌體版本,部分資料或許仍可透過人工方式維護。但當產品、版本、元件與供應商數量增加後,人工試算表容易出現版本不同步、資料遺漏與漏洞追蹤困難。

自動化平台可以協助企業進行韌體解析、SBOM 管理、CVE 比對、漏洞影響評估與改善紀錄追蹤。不過,工具不能取代企業對產品分類、法規責任及符合性評估方式的正式判斷。

ONEKEY Cyber Security Platform

集中管理韌體、SBOM 與產品資安風險

了解 ONEKEY 如何協助 IoT/OT 設備製造商分析韌體、辨識軟體元件、追蹤漏洞與管理 CRA 合規流程。

查看 ONEKEY 平台

CRA 合規常見問題

企業現在才開始準備 CRA 會太晚嗎?

是否來得及取決於產品數量、韌體複雜度、現有資安流程與符合性評估方式。由於漏洞通報義務自 2026 年 9 月 11 日開始適用,企業應優先建立產品清冊、事件判斷與通報流程,再逐步補齊其他工作。

已有 ISO 27001 是否代表符合 CRA?

不代表。ISO 27001 可支援企業資訊安全管理,但 CRA 聚焦含數位元素產品的設計、開發、弱點處理、技術文件與上市後維護。兩者有部分交集,但不能互相直接取代。

CRA 合規應由資安、法務還是產品部門主導?

CRA 涉及產品、研發、資安、法遵與供應鏈,較適合由跨部門團隊共同執行。但企業仍應指定一位主要負責人,避免出現責任分散、工作重複或重大事件無人決策。

建立一次 SBOM 就完成 CRA 準備了嗎?

沒有。SBOM 必須與產品、韌體版本及後續元件變更保持一致,並持續比對新漏洞。企業還需要建立風險評估、弱點處理、技術文件、事件通報與安全更新等流程。

CRA 是否適用所有 IoT 與 OT 設備?

CRA 涵蓋範圍廣,但不能直接推論所有 IoT/OT 產品都採取完全相同的合規程序。企業仍需確認產品是否落入適用範圍、產品分類,以及是否受到其他歐盟特定法規規範。

使用自動化工具就代表產品已符合 CRA 嗎?

不代表。工具可協助完成韌體分析、SBOM、漏洞管理與紀錄追蹤,但無法自動取代企業的法規責任、技術文件、符合性評估與正式決策。

本文根據 ONEKEY 公布的 2025 調查內容進行整理,旨在提供一般性產品資安與 CRA 準備資訊,不構成法律意見、認證承諾或特定產品的符合性判定。實際適用範圍與程序應依歐盟正式法規、主管機關指引及專業法遵意見確認。

👉 If you would like to learn more about CRA regulatory requirements, the SBOM build process, or assess your organization's current compliance maturity, we can help you navigate through the ONEKEY Automated Security Analytics PlatformThe new system is designed to enhance product firmware and shorten compliance timelines to keep your IoT/OT system competitive in the face of the new EU regime in 2026!
If you want to know more about platform importing.Feel free to contact us now!Or make an appointment for a personalized consultation, Honghong will be happy to serve you.