本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
CRA合規
04.Jun.2026
9 月 11 日,你的歐洲訂單準備好了嗎?
CRA 第一階段通報義務生效:台灣 OEM/ODM 高層決策者必讀
30 秒重點
2026 年 9 月 11 日,CRA 第一個強制義務生效:製造商必須在 24 小時內向歐盟通報產品漏洞。您的產品可能屬於「Default」類別,可以透過自我宣告方式證明產品滿足 CRA 法規的要求。但「自我宣告」不等於「不用準備」,通報義務適用於所有產品類別,且已經在歐盟境內銷售的產品同樣屬於通報範圍。提前建立通報能力,不僅能有效管理合規風險(最高 €1,500 萬罰款),更能鞏固與歐洲客戶的供應鏈信任關係。一、「Default 類別、自我宣告」的常見認知落差
約 90% 的含數位元素產品被歐盟委員會歸類為「Default」類別,可以不需要第三方機構評估,只需製造商自我宣告合規。這讓許多台灣廠商高層得出一個結論:「我們不用急」。這個理解有待釐清。以下三點值得留意:
- 通報義務不分類別。CRA Art. 14 的漏洞通報義務適用於所有「含數位元素產品」的製造商,不論產品是 Default、Important 還是 Critical。走自我宣告路徑可以省去第三方評估費用,但通報義務一個都不能少。
- 自我宣告不是「自我認定」。自我宣告仍然要求製造商的流程與其產品滿足 CRA Annex I 的安全要求,建立技術文件,並對合規性承擔全部法律責任。市場監督機關可以隨時要求製造商提供證明文件。換言之,自我宣告意味著「由您自己負責證明合規」,而非「不需要合規」。
- 歐洲客戶正在同步準備其自身合規。歐洲品牌客戶為了履行其 CRA 義務,已開始在 RFQ 和供應商審查中要求台灣代工廠提供:
- 安全開發流程證明、
- 軟體物料清單 (Software Bill of Material, SBOM)、
- 漏洞管理政策、
- 產品安全中心 (Product Security Incident Response Team, PSIRT) 聯絡窗口及安全測試報告。
二、九月需要具備的三項核心能力
CRA 的生效採用分階段模式。完整合規(含 CE 標誌、技術文件及符合性評估)將於2027年12月11日生效,但通報義務在2026年9月11日就生效:
| 義務 | 意涵 | 合規風險 |
|---|---|---|
| 漏洞利用通報 | 知悉(aware)漏洞遭利用後,必須在規定時限內透過 ENISA單一漏洞通報平台(Single Reporting Platform, SRP)通報 | 最高 €1,500 萬罰款+產品下架令 |
| 重大事件通報 | 負責影響產品安全的重大資安事件,同樣須向 ENISA 通報 | |
| 罰則即時適用 | Art. 64 罰則從 9/11 起可執行,不需等到 2027 年完整合規截止 |
提醒:通報義務具有溯及效力。不僅是 2027 年後上市的新產品——您今天在歐盟市場銷售的現有產品,從2026年9月11日起均受約束。及早準備,可確保現有產品線的持續合規。
三、風險與機會:從供應鏈角度理解 CRA
CRA 對台灣 OEM/ODM 的影響,需要從供應鏈關係的角度來理解。情境一:您的歐洲品牌客戶是 CRA 的「製造商」。他們的合規義務要求他們能在 24 小時內通報產品漏洞。但產品的 SBOM、漏洞情報及元件清單都在您手上。當您具備提供這些資料的能力,您就成為客戶合規鏈中不可或缺的夥伴。這是鞏固供應鏈地位的契機。
情境二:您以自有品牌在歐盟銷售。您直接承擔 Art. 14 全部通報義務。建立完善的通報機制,不僅確保合規,也是向歐洲市場展示品牌成熟度與可信賴度的重要方式。
參考數字:CRA 罰款上限為全球年營收 2.5%(年營收 100 億台幣的廠商約 2.5 億台幣)或1500萬歐元取其高。但更重要的是,提前準備能有效避免供應鏈中斷風險,並為歐洲業務的長期成長奠定基礎。
四、提前準備的廠商正在建立競爭優勢
CRA 不僅是合規要求,也是重新定義供應鏈競爭力的機會。已有台灣廠商將合規準備轉化為業務成長動能:競標優勢:在歐洲電信商的 RFQ 中,能主動提供 CRA 合規文件的台灣廠商,展現了更高的供應鏈成熟度,獲得客戶青睞。合規準備的投入,往往在第一張新訂單就能回收。
長約鎖定:主動建立 CRA 合規能力的 OEM/ODM,正在與歐洲客戶簽訂「CRA 優先供應商」長期框架協議。先行者的優勢在於:從被動回應客戶要求,轉變為主動展示合規能力。
複用效益:為 9 月通報義務建立的 PSIRT、SBOM及漏洞監控能力,同時是 2027 年完整合規的基礎。現在投入不是額外成本,是提前開始打基礎。
五、高層現在需要做的三個決定
合規的技術細節可以交給內部團隊或外部顧問。但以下三個決定需要高層支持與資源配置:| 決定項目 | 為什麼需要高層支持 | 建議時間 |
|---|---|---|
| 指定 PSIRT 負責人與資源配置 | 涉及跨部門人力調配、授權與預算 | 建議立即啟動 |
| 核定 SBOM 建置與漏洞監控預算 | 需要工具採購與流程變更的投資決策 | Q2 2026 |
| 決定歐盟授權代理人架構 | 涉及法律架構、合約簽署與跨時區運作 | 2026/09/11 前 |
六、高層最常問的三個問題
「我們已有 ISO 27001,這樣不夠嗎?」
ISO 27001 管的是組織內部資訊安全,是很好的基礎。CRA Art. 14 要求的是對外的產品漏洞通報能力:SBOM、PSIRT及通報流程。兩者是不同維度的合規體系,可以互補但不能互相替代。在現有 ISO 27001 架構上補齊產品資安層次,是最經濟的做法。「我們只是代工,CRA 跟我們無關。」
CRA 的直接義務人是歐盟品牌客戶。但他們履行通報義務的核心依據——SBOM、漏洞紀錄及安全測試報告——全部在您手上。具備提供這些資料的能力,是維護與強化供應鏈合作關係的關鍵。「準備這些要花多少錢?」
取決於產品數量、現有基礎與組織成熟度。但有一個參考框架:深入的合規準備通常在 3–6 個月內可完成,投資規模遠低於供應鏈關係中斷的潛在影響。先行者的經驗顯示:合規投入在第一張新訂單就能回收。七、下一步
合規準備的第一步是瞭解現況:您的產品在哪個位置、還需要建立哪些能力、優先順序怎麼排。
DEKRA Onward Security 可以協助的具體服務
- 漏洞通報機制現況評估(Gap Analysis):以 CRA Art. 14 為基準,全面瞭解您目前的通報機制完備程度與可強化方向
- PSIRT 輕量化導入:以跨部門運作框架建立漏洞應變能力,不需額外招聘資安人員
- SBOM 建置服務:對主力產品執行軟體成分分析,產出符合 CRA 要求的機器可讀(machine-readable)格式 SBOM
- 通報演練與範本製作:模擬真實通報情境,驗證 24 小時流程是否可行,同時建立標準化範本
- CRA Annex I 合規差距分析:為 2027 年完整合規提前規劃路徑,讓每一步投入都有明確方向
-
歡迎聯繫 DEKRA Onward Security 安排一對一評估,協助您瞭解目前的合規準備現況與可優化的方向。
1. European Commission, Regulation (EU) 2024/2847 — Cyber Resilience Act.
2. ENISA, Single Reporting Platform (SRP), https://www.enisa.europa.eu/topics/product-security/single-reporting-platform-srp
3. European Commission, CRA — Reporting Obligations, https://digital-strategy.ec.europa.eu/en/policies/cra-reporting
4. ONEKEY, “Cyber Resilience Act Enters Phase 1,” 2026.
5. DLA Piper, “Cyber Resilience Act: What you need to know,” February 2026.
───────────────────────────────────────────
CRA 合規系列文章導覽
第一篇至第三篇建立問題意識與產品安全設計方向。從第四篇開始,進入 CRA 合規的具體操作指引。
第一篇:從波蘭能源攻擊事件看台灣製造商的產品安全缺口與 CRA 合規策略
第二篇:從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動
第三篇:CRA 來了,你的產品規格準備好了嗎?——PM/RD 的安全規格變更清單
▼ 從問題意識到合規操作 ▼
第四篇 (本篇):CRA 第一階段通報合規準備(高層版 + 執行版)
第五篇:SBOM 建置與工具選擇(高層版 + 執行版)
第六篇:弱點管理政策與合規框架(高層版 + 執行版)
第七篇:弱點管理全流程實務指引(高層版 + 執行版)
───────────────────────────────────────────