CRA 歐盟網路韌性法案合規服務

歐盟 CRA 於 2026/9/11 起生效通報義務、2027/12/11 全面合規。雷盾提供 CRA 適用性健檢、差距評估、SBOM/VEX、滲透測試與持續合規訂閱,協助台灣製造商出口歐盟。

CRA 合規準備流程

協助銷往歐盟的製造商依 CRA 時程完成合規準備的標準流程

  1. 適用性判定:判定產品是否受 CRA 規範、屬 Default/Important/Critical 何級,釐清 2026/9/11 與 2027/12/11 前各須完成的事項
  2. 差距評估:Annex I 全 21 項逐條對照現況,產出差距報告與補強路線圖
  3. 補強與文件建置:建立漏洞回報窗口、Article 14 通報 SOP 與技術文件架構,補齊制度與流程缺口
  4. 檢測與證據產出:執行滲透測試、SBOM/VEX 產出與韌體檢測,報告依 Annex VII 格式交付、可直接歸檔技術文件
  5. 持續監控與通報就緒:每版 SBOM 產出與保存、新漏洞監控告警、技術文件維護與年度測試排程,維持通報與合規就緒狀態

常見問題

我的產品受 CRA 管嗎?

只要產品具數位元素、可直接或間接連網,且在歐盟市場銷售(含透過品牌客戶),原則上就在 CRA 適用範圍內。醫療器材、車輛等已有專法的產品另循其法規。雷盾的適用性健檢可在 1–2 週內給你明確答案。

2026 年 9 月 11 日前必須完成什麼?

Article 14 通報義務生效:製造商發現產品有被積極利用的漏洞或重大資安事件時,須在 24 小時內向 ENISA 平台提交初步預警、72 小時內補充通報、14 天內提交最終報告。實務上你需要:漏洞回報窗口、內部通報 SOP,以及能及時知道自家產品中招的漏洞監控機制。

已經在歐盟上市的產品也要遵守嗎?

通報義務適用於所有仍在市場上的產品,包括 2027 年 12 月前上市者;完整的產品安全要求則適用於 2027/12/11 之後上市或發生重大修改的產品。

CRA 要求的 SBOM 是什麼格式?

須為通用機器可讀格式(如 CycloneDX 或 SPDX JSON),至少涵蓋頂層依賴。若同時對齊德國 BSI TR-03183,還需元件 purl、SPDX 授權識別碼、雜湊值與樹狀依賴關係圖。雷盾的 SBOM 服務即以此為交付標準。

違反 CRA 的罰則有多重?

違反基本資安要求最高可處 1,500 萬歐元或全球年營業額 2.5% 的罰鍰(取較高者),產品並可能被要求下架或禁止進入歐盟市場。

雷盾可以幫我拿到 CE 標誌嗎?

CE 標誌由製造商依符合性評鑑結果自行標示;Important/Critical 類產品的第三方評鑑須由歐盟公告機構執行。雷盾提供的是送驗前的差距評估、檢測與技術文件準備,協助你以最完整的狀態完成自我評估或送驗——我們不出具認證,也請留意任何宣稱能「代辦認證」的廠商。

我們已經有 ISO 27001,還需要另外準備 CRA 嗎?

需要。ISO 27001 管理的是組織的資訊安全制度;CRA 規範的是產品本身的資安要求與對外義務(SBOM、漏洞處理、通報)。兩者互補而不可互相取代:既有 ISMS 是很好的基礎,但須在其上補齊產品層的證據與流程。雷盾同時提供 ISO 27001 與 CRA 服務,可協助你以最小重工銜接兩套要求。

我們只是代工,CRA 是品牌客戶的事吧?

法律義務人確實是你的品牌客戶,但他們合規所需的 SBOM、安全測試報告與漏洞資訊都來自代工廠,而且這些要求正被寫進 RFQ 與供應商合約。對 ODM/OEM 而言,CRA 就緒能力正在從加分項變成入場券——這也是鞏固供應鏈地位的機會。

聯絡雷盾資安免費諮詢 · 查看定價方案