歐盟《資安韌性法》2027年強制執行，違反者恐面臨巨額罰款，台廠如何應對？

吳碧娥╱北美智權報　編輯部

歐盟的《資安韌性法》（Cyber Resilience Act，CRA）已於2024年12月10日正式生效，並於2027年全面上路，歐盟將對網路供應鏈提供強制性網路安全標準，並課予數位產品製造商在網路安全方面的義務，以提高產品安全性之透明度。值得注意的是，相關的產品製造商最早將於2026年就必須遵守強制性的通報義務，違反者恐將面臨巨額罰款。

根據《CRA》規定，未來數位產品要銷售到歐盟國家，製造商及其授權代理商、進口商與經銷商必須符合法遵義務，產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。而為證明數位產品已符合資安及漏洞處理要求，製造商須依數位產品類別，對產品執行合規評估程序：若屬於重要數位產品（無論I類或II類）及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以標示產品符合規範。

《CRA》將從2026年6月11日開始適用「通知合格評估機構」的相關規定，成員國須確保2026年12月11日前，歐盟境內有足夠數量的指定合規性評估單位，其餘主要規定將於2027年12月全面生效，製造商須確保其產品符合《CRA》的資安要求 。

如為2027年12月11日前已於歐盟市場上提供的產品，將適用製造商通報義務並不受其他條文規範，除非在2027年12月11日後該產品有重大調整（substantial modification）；至於2027年12月11日後才在歐盟市場上提供的產品，則所有條文均適用。

《CRA》重點規範

國家資通安全研究院國合治理中心研究員李婉萍指出，CRA重點規範包括：

1.產品基本資安要求：產品於生命週期各階段需符合基本資安要求（essential cybersecurity requirements），包含產品資安機制的相關要求，與漏洞處理兩個面向，舉例來說，產品資安機制例如防止漏洞與不當操作、漏洞應對與更新機制、存取控制與資料保護、可用性與系統靭性；漏洞處理相關要求包括識別與紀錄、漏洞修補、測試與評估、漏洞披露政策和安全更新機械制。

2.認驗證機制與標章：部分產品須通過合規評估（conformity assessment）與CE標章相關義務。

若未能達到《CRA》相關規範，業者最高可被處以1,500萬歐元，或前一會計年度之全球年營業額2.5%之行政罰缓，必須特別注意以免不慎受罰。

《CRA》主要規範對象之法定義務

《CRA》主要規範對象包括製造商、開源軟體管理者、進口商及經銷商四大類別。

1.製造商：開發或製造產品，或委託他人設計、開發或製造，並以自身名稱或商標進行市場銷售，無論是營利或免费提供；

2.開源軟體管理者：對預期商用的自由與開源軟體之開發，持續、系統化支持其開發；

3.進口商：設立於歐盟境內，將標示有設立於歐盟境外之業者名稱或商標的產品投放至歐盟市場；

4.經銷商：在不影響產品性質的情況下，於歐盟市場提供產品。

製造商

製造商重點義務包括風險評估及通報義務。製造商必須針對產品特性與漏洞處理兩面向進行基本資安要求的風險評估，要提供合規性評估、歐盟合規性聲明及CE標章等技術文件，製造商通報義務必須持續履行，包括漏洞利用和對產品資安產生影響的重大事件。

開源軟體管理者

《CRA》希望能促進開發者自願通報漏洞，涵蓋漏洞紀錄、處理以及修補相關事項，並促進開源社群（open-source community）分享已發現漏洞的資訊，當開源軟體管理者參與產品開發時，或是發生響產品安全的重大事件，會波及開源軟體管理者提供的網路與資訊系統時，開源軟體管理者應履行法定通報義務。

進口商與經銷商

進口商與經銷商重點義務包括產品合規、必要文件以及告知義務三大面向，雖然進口商與經銷商之義務不盡相同，但均須符合以下規範：

．產品合規：確保產品已標示歐洲合格認證推章（CE標章）

．必要文件：依要求提供產品合規性的文件

．告知義務：發現漏洞時，應即時告知製造商；若發現產品存在重大資安風險，須立即告知製造商與市場監理單位（MSA）；若發現製造商已停止經營，須告知市場監理單位，並盡可能告知使用者。

另外，就屬於歐盟《AI法》所定義的高風險AI系統（high-risk Al systems）之產品，應遵守歐盟《CRA》的產品基本資安要求。製造商的風險評估應特別納入以下內容：

．未經授權第三方試圖變更系統用途、行為或效能之資安風險；

．包含資料下毒（data poisoning）或對抗攻擊（adversarial attacks）等AI特有漏洞；

．依據歐盟《AI法》應納入考量的基本權利風險（如果相關）。

李婉萍指出，若符合歐盟《CRA》的產品基本資安要求，在根據歐盟《CRA》發布的合規性聲明中，聲明達成歐盟《AI法》所要求的資安保護水準，則可被視為符合歐盟《AI法》的資安要求。

《CRA》誕生於高度互聯且涉及複雜地緣政治關係的全球數位環境，隨著歐盟在網路安全威脅日益加劇，《CRA》實施將使得全球製造商皆需進行相應調整，以符合歐盟嚴格的網路安全要求。台商可以先盤點產品與出貨國別，確定哪些需遵循《CRA》合規，並開始進行產品資安風險評估與漏洞管理制度、建立技術文件與通報流程，未來歐盟將如何應對《CRA》，亦值得台灣廠商後續保持關注。

資料來源：

2025/5/7，「AIoT資安法規趨勢研討會」李婉萍簡報

2024/12/3，Cyber Resilience Act: MEPs adopt plans to boost security of digital products.

【詳細內容請見《北美智權報》380期；歡迎加入NAIPNews網站會員，或以系統訂閱《北美智權報》】