本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
IoT
網路韌性法案 Cyber Resilience Act (CRA)
歐盟法規 (EU) 2024/2847,網路韌性法案 (Cyber Resilience Act, CRA) 是針對在歐盟市場上銷售具數位元素的產品所制定的全新網路安全規範。此法規象徵歐洲在強化數位安全與防護方面邁出關鍵性的一步。它要求製造商在產品設計階段必須落實安全設計(Security by Design)原則,主動進行漏洞管理,並於產品全生命週期內提供透明且持續的安全支援。
面對日益複雜的網路威脅,CRA為保護使用者、強化市場信任,並打造更具韌性的數位未來。
面對日益複雜的網路威脅,CRA為保護使用者、強化市場信任,並打造更具韌性的數位未來。
網路韌性法案的優勢
-
更強大的數位信任
-
降低網路安全風險
-
更明確的合規要求
您的產品是否屬於 CRA 規範範圍?
適用範圍 (In Scope)
- 硬體產品:包括於市場上銷售之產品與零組件(如筆記型電腦、智慧家電、手機、網路設備或 CPU),及其遠端資料處理功能。
- 軟體產品:包括於市場上銷售之產品與零組件(如作業系統、文書處理軟體、遊戲或應用程式、軟體程式庫),及其遠端資料處理功能。
不適用範圍 (Out of Scope)
- 非商業用途產品:例如個人興趣製作產品及部分開源軟體(FOSS)。
- 服務,尤其是獨立的軟體式服務(SaaS, Software as a Service):例如網站或純網頁型服務。
- 明確排除項目:汽車、醫療器材與體外診斷器材、航空設備、海事設備。
如何準備符合 CRA 合規要求?
CRA 不僅涵蓋產品本身,更涵蓋產品完整生命週期,包括規劃、設計、開發、生產、交付與維護,並強調網路安全風險評估與持續監控及改善。
了解網路安全要求 (Essential Cybersecurity Requriements)
了解網路安全要求 (Essential Cybersecurity Requriements)
- 風險評估與安全開發生命週期(Secure Development Lifecycle):依據法規附件 I 第一部分 (Annex I, Part I) 第1項。
- 產品要求:依據法規附件 I 第一部分 (Annex I, Part I) 第2項。
- 漏洞處理:依據法規附件 I 第二部分 (Annex I, Part II)。
產品分類與文件準備
- 產品分類:評估產品是否屬於特殊類別 - 重要類別 I (Important Class I)、重要類別 II (Important Class II),或關鍵類別 (Critical),這些定義於附件 III 與附件 IV。若不屬於上述類別,則歸屬為預設類別 (Default)。
- 文件與流程開發:製作必要的文件,並建立與風險評估、安全開發生命週期 (Secure Development Lifecycle) 以及漏洞處理相關的程序。
完成符合性評估程序
依據產品分類,製造商須選擇適當的符合性評估程序:
- 自我評估 (Module A):適用於預設類別 (Default) 產品,或重要類別 I (Important Class I) 產品(若已使用協調標準 (Harmonized Standards)),製造商可自行進行評估。
- 符合性評估機構介入:適用於重要類別 II (Important Class II) 產品,或重要類別 I 產品(若未使用協調標準),需由歐盟認可的公告機構 (Notified Body) 介入評估。
- 取得歐盟網路安全證書:在可行的情況下,關鍵產品必須優先取得歐洲網路安全驗證方案 (European Cybersecurity Certification Scheme)的證書(例如 EUCC, EUCS, EU5G)。
DEKRA德凱服務
教育訓練
提供客製化訓練與解決方案,協助企業建立CRA 法規要求準備策略。
評估服務
提供客製化訓練與解決方案,協助企業建立CRA 法規要求準備策略。
評估服務
基於法規要求、協調標準及產業標準提供的評估服務。
第三方評估與驗證
DEKRA德凱將成為 CRA 的公告機構(Notified Body),協助製造商取得相關證書。我們將運用在 RED-DA擔任公告機構,以及在 EUCC 驗證機構的豐富經驗,為客戶提供專業服務。符合性評估機構(Conformity Assessment Body)的公告程序將自 2026 年 6 月開始。
EUCC 證書
DEKRA德凱是獲得認可的EUCC評估實驗室(ITSEF)與驗證機構(CB)。您在取得 EUCC 證書的同時,也能符合 CRA 的相關要求。
『符合性評估程序必須在 2027 年 12 月前完成,以確保產品投放歐盟市場時完全符合 CRA 要求。請注意,漏洞通報義務將於 2026 年 9 月起開始適用』
DEKRA德凱強化您的產品安全
我們提供業界最完整的服務組合,涵蓋 Common Criteria、FIPS 140-3、ETSI EN 303 645、IEC 62443、SESIP、EN 18031 等多項標準與證書資格。
目前已協助多家製造商符合歐盟 RED-DA 網路安全相關要求。現在我們已準備好以相同精準度與可靠性,協助您順利完成 CRA 合規。
選擇我們,讓您確保產品安全、強化市場信任,並在歐盟法規趨勢中保持競爭優勢。
目前已協助多家製造商符合歐盟 RED-DA 網路安全相關要求。現在我們已準備好以相同精準度與可靠性,協助您順利完成 CRA 合規。
選擇我們,讓您確保產品安全、強化市場信任,並在歐盟法規趨勢中保持競爭優勢。