歐盟 CRA 於 2026/9/11 起生效通報義務、2027/12/11 全面合規。雷盾提供 CRA 適用性健檢、差距評估、SBOM/VEX、滲透測試與持續合規訂閱,協助台灣製造商出口歐盟。
協助銷往歐盟的製造商依 CRA 時程完成合規準備的標準流程
只要產品具數位元素、可直接或間接連網,且在歐盟市場銷售(含透過品牌客戶),原則上就在 CRA 適用範圍內。醫療器材、車輛等已有專法的產品另循其法規。雷盾的適用性健檢可在 1–2 週內給你明確答案。
Article 14 通報義務生效:製造商發現產品有被積極利用的漏洞或重大資安事件時,須在 24 小時內向 ENISA 平台提交初步預警、72 小時內補充通報、14 天內提交最終報告。實務上你需要:漏洞回報窗口、內部通報 SOP,以及能及時知道自家產品中招的漏洞監控機制。
通報義務適用於所有仍在市場上的產品,包括 2027 年 12 月前上市者;完整的產品安全要求則適用於 2027/12/11 之後上市或發生重大修改的產品。
須為通用機器可讀格式(如 CycloneDX 或 SPDX JSON),至少涵蓋頂層依賴。若同時對齊德國 BSI TR-03183,還需元件 purl、SPDX 授權識別碼、雜湊值與樹狀依賴關係圖。雷盾的 SBOM 服務即以此為交付標準。
違反基本資安要求最高可處 1,500 萬歐元或全球年營業額 2.5% 的罰鍰(取較高者),產品並可能被要求下架或禁止進入歐盟市場。
CE 標誌由製造商依符合性評鑑結果自行標示;Important/Critical 類產品的第三方評鑑須由歐盟公告機構執行。雷盾提供的是送驗前的差距評估、檢測與技術文件準備,協助你以最完整的狀態完成自我評估或送驗——我們不出具認證,也請留意任何宣稱能「代辦認證」的廠商。
需要。ISO 27001 管理的是組織的資訊安全制度;CRA 規範的是產品本身的資安要求與對外義務(SBOM、漏洞處理、通報)。兩者互補而不可互相取代:既有 ISMS 是很好的基礎,但須在其上補齊產品層的證據與流程。雷盾同時提供 ISO 27001 與 CRA 服務,可協助你以最小重工銜接兩套要求。
法律義務人確實是你的品牌客戶,但他們合規所需的 SBOM、安全測試報告與漏洞資訊都來自代工廠,而且這些要求正被寫進 RFQ 與供應商合約。對 ODM/OEM 而言,CRA 就緒能力正在從加分項變成入場券——這也是鞏固供應鏈地位的機會。