歐盟 CRA 倒數引爆:不合規,2027直接被市場淘汰!
2026-06-03
14
在全球數位監管快速升溫之際,歐盟再度出手拉高資安門檻 。備受矚目的《網路韌性法案》已正式上路,這不僅是一項單純的資安法規,更被視為翻轉未來產品設計、供應鏈管理與市場進入門檻的關鍵遊戲規則 。對於正積極布局歐洲市場的台灣企業而言,CRA 是攸關企業核心競爭力與國際接單能力的戰略議題 。
在全球數位監管快速升溫之際,歐盟再度出手拉高資安門檻 。備受矚目的《網路韌性法案》(Cyber Resilience Act, 簡稱 CRA)已正式上路,這不僅是一項單純的資安法規,更被視為翻轉未來產品設計、供應鏈管理與市場進入門檻的關鍵遊戲規則 。對於正積極布局歐洲市場的台灣企業而言,CRA 絕非只是傳統的「合規問題」,而是攸關企業核心競爭力與國際接單能力的戰略議題 。
歐盟資安監管升級:從「單點驗證」走向「全生命週期管理」
過去企業所熟悉的 CE 認證,多半集中在產品上市前的檢測與驗證;然而 CRA 的核心精神,已明確轉向「全生命週期資安治理」 。
未來,企業必須從產品的「設計階段」就導入資安機制,涵蓋威脅建模、安全程式開發,一路延伸到產品上市後的漏洞監控、修補更新與事件回應,全數被納入強制規範 。換言之,資安不再是產品開發完成後的「附加項目」,而是貫穿整個產品生命週期的「基本配備」 。
「設計即安全」成為基本門檻
CRA 明確要求實踐 「Secure by Design(設計即安全)」 原則 。產品在交付市場時,必須符合以下兩大要件:
- 不得存在已知且可被利用的漏洞
- 預設具備基本資安防護能力(如身份驗證、加密通訊等)
這代表企業若仍沿用過去「先開發、後補強」的傳統模式,將難以符合歐盟標準 。未來產品是否在研發初期就具備資安設計能力,將直接決定其是否拿得到進入市場的門票 。
製造商責任大幅提高:供應鏈風險需一併承擔
值得台灣製造業特別關注的是,CRA 有將近七成的篇幅聚焦於「製造商責任」 。即便最終產品整合了來自多家供應商的零組件或軟體,整體的合規責任依舊由最終的品牌製造商全權承擔 。這意味著:
1. 企業必須重新檢視並稽核整條供應鏈的資安能力 。
2. 必須對外包商與第三方元件建立更嚴格的管理與篩選機制 。
3. 內部需建立起可追溯、可審計的資安管理流程與完整文件 。
未來,「供應鏈是否合規」 直接成為台灣企業能否順利接單的關鍵分水嶺 。
網羅所有「具連線能力」產品,監管範圍遠超想像
CRA 的監管對象為「具備數位元素的產品(Products with Digital Elements, PwDE)」,其定義範圍遠比多數企業想像的還要廣泛 。只要產品符合以下三大條件,即落入監管範圍:
- 具備軟體或硬體組件
- 投放到歐盟市場販售
- 具備資料連接能力(包含 USB、藍牙、Wi-Fi、TCP/IP 等常見傳輸介面)
意即即使產品本身沒有連接網際網路,只要具備「資料交換」能力就可能被納管 。例如:內含 IC 的電池、智慧充電線、Wi-Fi 電視,以及依賴雲端運作的設備(如 IP Camera)等 。此外,若產品的核心功能依賴雲端服務,該雲端解決方案同樣必須符合 CRA 要求,企業絕不能只將目光鎖定在硬體本身 。
四大產品分級:監管強度全面提升
CRA 依據產品的風險高低,將其分為四大類別,並採取不同強度的監管措施 :
1. 預設類別(Default, 約佔 90%):風險較低,企業可採用自我評估(Self-assessment)方式宣告合規 。
2. 重要產品 Class I(Important Class I):如作業系統、微控制器(MCU)等 。
3. 重要產品 Class II(Important Class II):如防火牆、入侵偵測系統(IDS)等,此類別起必須透過第三方機構驗證 。
4. 關鍵產品(Critical):如硬體安全模組(HSM)、智慧卡等,屬於最高監管等級 。
這意味著未來有相當比例的產品將無法再透過「自行宣告」過關,必須通過嚴格的第三方機構審查,這無疑拉高了企業的時間與成本壓力 。
執法重拳:最高罰鍰達全球營收 2.5%
在執法力道上,CRA 延續了歐盟一貫的鐵腕風格 。企業若違反相關法規,將面臨極具阻嚇效果的重罰 :
- 最高 1,500 萬歐元的罰鍰
- 或該企業全球年度總營業額的 2.5%(兩者以高者為準)
對於跨國企業而言,這不僅是巨大的財務風險,更會對品牌信譽與市場信任度造成毀滅性的打擊 。
關鍵時程逼近:2027 年全面強制實施
企業應緊盯以下四大關鍵時間節點 :
- 2024 年 12 月:CRA 法案正式生效 。
- 2026 年 9 月:產品漏洞與資安事件的「強制通報義務」正式上路 。
- 2026 年 12 月:歐盟預計發布對應的調和標準(Harmonised Standards) 。
- 2027 年 12 月:全面強制實施。屆時不合規的產品將一律禁止進入歐盟市場 。
距離全面強制實施僅剩不到兩年時間 。對於產品研發、測試與驗證週期較長的製造業而言,轉型與因應的時間壓力已迫在眉睫 。
台灣企業的關鍵抉擇:是轉型成本,還是市場門票?
對台灣企業主與高階決策層而言,CRA 已經超越了單純的法規遵循,而是一道攸關市場存續的硬門檻 :
- 不願投入資安能力的企業,將直接被排除在歐盟市場之外 。
- 提早布局並取得驗證者,反而能在這一波洗牌中脫穎而出,搶佔轉單優勢 。
專家建議,面對來勢洶洶的 CRA,企業應立即啟動三大防禦行動 :
1. 產品線全面盤點:釐清旗下有哪些產品落入 PwDE(具數位元素產品)的範疇 。
2. 管理流程升級:導入並對齊如 ISA/IEC 62443 等國際工業資安標準 。
3. 強化供應鏈管理:建立從供應商、外包商到品牌端「端到端(End-to-End)」的資安治理機制 。
結語
從規範個人資料的 GDPR,到如今管制硬體產品的 CRA,歐盟正逐步將「數位信任」轉化為具體的全球貿易規則 。未來的國際商務競爭,將不再只是單純的價格與品質比拼,更是資安防禦力與合規應變力的較量 。
對台灣企業而言,當前的核心問題早已不是「要不要做」,而是—現在開始,還來不來得及?