本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
CRA合規
11.Jun.2026
CRA 第一階段通報合規指引
執行團隊完整準備清單:從現在到 2026/09/11
本文是給內部執行團隊的操作指引。它將 CRA Art. 14的通報義務轉化為具體的準備項目、可交付物及時間表。通報義務不分產品類別,即使您的產品屬於 Default 類別,可以選擇自我宣告路徑聲明滿足CRA要求,以下每一項仍然適用於你的產品。
提醒:通報義務具有溯及效力。現在已在歐盟市場銷售的產品,從 2026/9/11 起均受約束。不僅限於 2027 年後上市的新品。
關於「Default 類別 = 不用準備」的認知落差:約 90% 的產品屬於 Default 類別,只需自我宣告。但自我宣告仍然要求製造商完整執行 CRA 所有安全要求,且 Art. 14 通報義務不分類別全部適用。自我宣告的意思是「由您自己負責證明合規」,不是「不用合規」。市場監督機關可隨時要求提供證明文件。瞭解這一點,有助於團隊正確設定準備範圍。
觸發條件:「可靠證據顯示惡意行為者在未授權情況下利用漏洞」,這包括CVE公告、威脅情報服務、客戶回報及內部監控任何一個漏洞情報來源。建立漏洞情報監控機制,是確保您能及時「知悉」並啟動通報流程的基礎。
對 OEM/ODM 的特別說明:您的歐洲客戶正在同步準備其 CRA 合規。他們向您要求 SBOM 和漏洞報告的時間,可能比您預期的更早。提前建立這些能力,不僅能滿足客戶需求,也能在供應商評選中展現更高的合作成熟度。
結論:兩者都是良好的基礎,可以加速 CRA 合規準備。但都無法直接滿足 CRA Art. 14 通報義務的全部要求。在現有認證架構上補齊缺口,是最經濟且風險最低的做法。
參考資料
1. European Commission, Regulation (EU) 2024/2847 — Cyber Resilience Act.
2. ENISA, Single Reporting Platform (SRP), https://www.enisa.europa.eu/topics/product-security/single-reporting-platform-srp
3. European Commission, CRA — Reporting Obligations, https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
4. ONEKEY, “Cyber Resilience Act Enters Phase 1,” 2026.
5. DLA Piper, “Cyber Resilience Act: What you need to know,” February 2026.
───────────────────────────────────────────
CRA 合規系列文章導覽
第一篇至第三篇建立問題意識與產品安全設計方向。從第四篇開始,進入 CRA 合規的具體操作指引。
第一篇:從波蘭能源攻擊事件看台灣製造商的產品安全缺口與 CRA 合規策略
第二篇:從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動
第三篇:CRA 來了,你的產品規格準備好了嗎?——PM/RD 的安全規格變更清單
▼ 從問題意識到合規操作 ▼
第四篇 (本篇):CRA 第一階段通報合規準備(高層版 + 執行版)
第五篇:SBOM 建置與工具選擇(高層版 + 執行版)
第六篇:弱點管理政策與合規框架(高層版 + 執行版)
第七篇:弱點管理全流程實務指引(高層版 + 執行版)
───────────────────────────────────────────
一、背景:9 月 11 日產生什麼強制義務
CRA 採用分階段生效。完整合規(CE 標誌、技術文件、符合性評估)截止日是 2027/12/11。但以下三項從 2026/09/11 起強制執行:- Art. 14 製造商通報義務:產品中遭主動利用的漏洞與重大資安事件,必須透過 ENISA SRP 平台通報
- Art. 16 單一漏洞通報平台(Single Reporting Platform, SRP)運作:ENISA 建立單一通報窗口,製造商提交一份通報,平台自動分發至指定的CSIRT 與 ENISA
- Art. 64 罰則即時適用:最高 €1,500 萬或全球年營收 2.5%,取較高者
提醒:通報義務具有溯及效力。現在已在歐盟市場銷售的產品,從 2026/9/11 起均受約束。不僅限於 2027 年後上市的新品。
關於「Default 類別 = 不用準備」的認知落差:約 90% 的產品屬於 Default 類別,只需自我宣告。但自我宣告仍然要求製造商完整執行 CRA 所有安全要求,且 Art. 14 通報義務不分類別全部適用。自我宣告的意思是「由您自己負責證明合規」,不是「不用合規」。市場監督機關可隨時要求提供證明文件。瞭解這一點,有助於團隊正確設定準備範圍。
二、三階段通報時限:完整拆解
觸發條件:「可靠證據顯示惡意行為者在未授權情況下利用漏洞」,這包括CVE公告、威脅情報服務、客戶回報及內部監控任何一個漏洞情報來源。建立漏洞情報監控機制,是確保您能及時「知悉」並啟動通報流程的基礎。三、您的公司屬於哪種義務定位
| 定位 | 通報義務 | 實務影響 |
|---|---|---|
| 自有品牌製造商 | 直接承擔 Art. 14 全部通報義務。無論總部是否在歐盟。非歐盟總部需指定授權代理人。 | 需建立完整通報機制、註冊 SRP 帳號、確保 24h 通報能力 |
| OEM/ODM 代工 | 無直接通報義務,但歐盟品牌客戶為履行其義務,必定要求您提供 SBOM、漏洞紀錄、安全測試報告及漏洞情報數據流。 | 需建立 SBOM 產出能力、漏洞監控機制、可回應客戶要求的標準化文件包 |
對 OEM/ODM 的特別說明:您的歐洲客戶正在同步準備其 CRA 合規。他們向您要求 SBOM 和漏洞報告的時間,可能比您預期的更早。提前建立這些能力,不僅能滿足客戶需求,也能在供應商評選中展現更高的合作成熟度。
四、完整準備清單:三個層次、十二個項目
以下清單依急迫程度排序。每個項目包含具體可交付物與建議負責單位。每個項目都是通報流程完整運作的環節,建議依序逐一落實。Layer 1:流程與政策文件(最緊迫——建議立即啟動)
這是整個通報機制的骨架。有了這些文件,技術能力才能在組織內部順暢運作。| 準備項目 | 可交付物 | 負責 | 急迫度 |
|---|---|---|---|
| 漏洞通報 SOP | 從情報接收→分流判斷→通報決策→提交的完整流程文件 | 產品資安 | P0 |
| PSIRT 運作規範 | 人員分工表、輪值機制、升級路徑、決策授權流程 | 工程 + QA | P0 |
| CVD 政策 | 對外公告的漏洞接收管道(含 security.txt) | 產品資安 | P0 |
| 通報授權人名單 | 明確誰有權決定「是否通報」與「向誰通報」,含聯絡方式 | 高層指定 | P0 |
Layer 2:技術準備(建議 Q2 2026 完成)
這些是讓流程得以運作的底層能力。有了 SBOM,您才能判斷「是否有漏洞遭利用」,通報義務才能有效履行。| 準備項目 | 可交付物 | 負責 | 急迫度 |
|---|---|---|---|
| 主力產品 SBOM | 至少一層依賴關係,SPDX 或 CycloneDX 格式 | RD / QA | P0 |
| 漏洞監控機制 | SBOM 與 NVD/OSV 比對、元件層級漏洞情報流 | RD / 資安 | P1 |
| 預製通報範本 | 24h/72h/14d 三階段標準化範本 | PSIRT | P1 |
| 產品上架國家清單 | 產品在歐盟各成員國的銷售分佈資料 | 業務 / 合規 | P1 |
Layer 3:組織準備(2026/09/11 前完成)
通報機制的有效性最終取決於組織執行力。一次全流程演練能有效驗證準備是否到位,並及時調整流程缺口。| 準備項目 | 可交付物 | 負責 | 急迫度 |
|---|---|---|---|
| 24/7 輪值應變制度 | 跨夜/週末/連假輪值表與通報流程啟動機制 | PSIRT | P1 |
| SRP 帳號註冊 | ENISA SRP 帳號註冊確認、平台介面熟悉 | 合規 / IT | P1 |
| 桌上演練 | 至少一次全流程模擬通報,檢驗 24h 實際所需時間 | PSIRT / 全員 | P1 |
| 授權代理人安排 | 歐盟授權代理人合約(非歐盟總部廠商適用) | 法務 / 業務 | P2 |
五、現有認證的覆蓋與補強方向
您可能已有 ISO 27001 或 IEC 62443 認證。以下對照表協助您瞭解現有基礎可以覆蓋哪些要求,以及需要補強的方向:| CRA Art. 14 要求 | ISO 27001 覆蓋? | IEC 62443 覆蓋? |
|---|---|---|
| 產品 SBOM 管理 | ✘ 未覆蓋 | △ 部分(IEC 62443-4-1 涵蓋Defect Management,但未要求機器可讀 SBOM) |
| PSIRT 運作 | ✘ 未覆蓋(ISMS 事件管理 ≠ 產品漏洞應變) | △ 部分(IEC 62443-4-1 有漏洞處理要求,但無 SRP 通報流程) |
| 元件層級漏洞監控 | ✘ 未覆蓋 | ✘ 未覆蓋 |
| 對 ENISA 的通報格式與流程 | ✘ 未覆蓋 | ✘ 未覆蓋 |
| CVD 對外公告義務 | ✘ 未覆蓋 | △ 部分(有漏洞揭露要求,但無 CRA 特定格式) |
| 24h/72h/14d 時限通報 | ✘ 未覆蓋(ISO 27001 無對外通報時限要求) | ✘ 未覆蓋 |
結論:兩者都是良好的基礎,可以加速 CRA 合規準備。但都無法直接滿足 CRA Art. 14 通報義務的全部要求。在現有認證架構上補齊缺口,是最經濟且風險最低的做法。
六、風險管理視角:確保自我宣告路徑的風險被妥善管理
自我宣告的本質是:製造商自行承擔合規證明的全部責任。這意味著您需要更主動地管理風險。以下是執行團隊應關注的五個風險面向及對應的管理措施:| 風險面向 | 潛在影響 | 建議管理措施 | |
|---|---|---|---|
| 1 | 通報時限壓力 | 未能在時限內完成通報,觸發合規處分 | 建立 PSIRT + SOP + 定期演練 |
| 2 | 影響範圍判斷能力不足 | 通報內容不完整,影響後續處理效率 | 建立 SBOM + 漏洞監控機制 |
| 3 | 客戶文件要求回應能力 | 無法及時回應歐洲客戶的合規文件需求 | 準備標準化供應商文件包 |
| 4 | 自我宣告文件完備度 | 市場監督機關要求提供證明文件時無法提供 | 維護完整技術文件與合規紀錄 |
| 5 | 漏洞情報監控盲區 | 漏洞已被利用但未及時發現,錯過通報時機 | 建立漏洞情報監控與比對機制 |
七、行動時間表:從現在到 9/11
| 時間 | 行動項目 | 可交付物 | 注意事項 |
|---|---|---|---|
| 立即 | 建立通報 SOP、PSIRT 框架、CVD 政策 | 流程文件、人員分工表 | 需要高層授權 PSIRT 人員配置 |
| 4–5 月 | 主力產品 SBOM 建置 + 漏洞監控機制 | SBOM、CVE 比對報告 | 可能需要 SCA 工具採購決策 |
| 6–7 月 | 預製通報範本 + 桌上演練 | 24h/72h/14d 範本、演練報告 | 演練後調整流程缺口 |
| 8 月 | SRP 帳號註冊 + 授權代理人安排 | 註冊確認、代理人合約 | 平台開放時程依 ENISA 公告 |
| 9月11日 生效 | 通報機制全面上線 | 所有準備完成 | 通報義務正式生效 |
八、DEKRA Onward Security 服務對照
| 您的準備項目 | DEKRA 可提供的服務 | 服務效果 |
|---|---|---|
| 通報 SOP + PSIRT | 漏洞通報機制現況評估(Gap Analysis)+ PSIRT 輕量化導入 | 全面瞭解現狀與缺口,以跨部門框架建立應變能力 |
| SBOM 建置 | SBOM 建置服務(SCA 掃描 + 格式轉換) | 產出 CycloneDX/SPDX 格式 SBOM,可直接回應客戶要求 |
| 漏洞監控機制 | 漏洞情報監控服務(訂閱制) | 元件層級 CVE 比對與警示 |
| 通報範本 + 演練 | 通報演練服務(情境模擬 + 全流程演練) | 驗證 24h 通報流程是否可行,識別並改善流程缺口 |
| CRA 完整合規路徑規劃 | CRA Annex I 合規差距分析 | 為 2027/12 完整合規提前規劃路徑與投資優先序 |
-
歡迎聯繫 DEKRA Onward Security 安排一對一評估,協助您瞭解目前的合規準備現況與可優化的方向。
1. European Commission, Regulation (EU) 2024/2847 — Cyber Resilience Act.
2. ENISA, Single Reporting Platform (SRP), https://www.enisa.europa.eu/topics/product-security/single-reporting-platform-srp
3. European Commission, CRA — Reporting Obligations, https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
4. ONEKEY, “Cyber Resilience Act Enters Phase 1,” 2026.
5. DLA Piper, “Cyber Resilience Act: What you need to know,” February 2026.
───────────────────────────────────────────
CRA 合規系列文章導覽
第一篇至第三篇建立問題意識與產品安全設計方向。從第四篇開始,進入 CRA 合規的具體操作指引。
第一篇:從波蘭能源攻擊事件看台灣製造商的產品安全缺口與 CRA 合規策略
第二篇:從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動
第三篇:CRA 來了,你的產品規格準備好了嗎?——PM/RD 的安全規格變更清單
▼ 從問題意識到合規操作 ▼
第四篇 (本篇):CRA 第一階段通報合規準備(高層版 + 執行版)
第五篇:SBOM 建置與工具選擇(高層版 + 執行版)
第六篇:弱點管理政策與合規框架(高層版 + 執行版)
第七篇:弱點管理全流程實務指引(高層版 + 執行版)
───────────────────────────────────────────