欧盟CRA风暴来袭:台湾制造业的灭绝级挑战还是转型契机?
- 台北讯
-
如果你以为欧盟《网络韧性法案》(Cyber Resilience Act,又称CRA)只是一纸遥远国度的行政命令,或者认为那是2027年以后才需要担心的事,那麽本篇文章可能是你公司未来的「转型之钥」。
对于以出口导向为主的台湾电子制造业而言,CRA宣告了「硬件功能至上」时代的终结,「产品网安要求」预计将正式成为与安规、EMC、RF同等重要的市场准入条款。违者将面临最高1,500万欧元(约5亿台币)或全球年营收2.5%的天价行政裁罚。这不仅是法规遵循的问题,更是一场关于企业品牌的生存淘汰赛。今天这篇文章先不深入探究CRA法规本身,而是先从几个产业界常见问题开启后续系列文章的讨论。
在深入解答各位老板与RD主管的焦虑之前,让我们先说说CRA法规的三大误区:
误区一:我们家的产品没有Wi-Fi功能,不用被CRA监管吧?这是最大的误区。CRA监管的是具备「数码元素的产品(Products with Digital Elements)」,又称PDE或PwDE。只要在欧盟市场贩售的产品具有直接或间接的逻辑或实体数据连接,就会落在监管范围内。只要你的设备或模块能透过任何方式(有线网络、蓝牙、甚至USB)交换数据或进行Firmware/Software更新,就会在CRA法规的管辖之列。
误区二:24小时内通报!?这只是欧盟的口号吧?
CRA 规定,一旦发现产品存在「已被积极利用」的漏洞或发生严重事故,制造商就必须在 24 小时内向欧盟 ENISA 及各国 CSIRT 发出「早期预警」。这样的反应速度,挑战的是企业内部的横向沟通效率!CRA 虽未强制要求成立特定部门,但要求企业必须具备漏洞处置与实时通报的功能。如果组织内没有预先建立好标准作业程序(SOP)与专责窗口,单靠临时的人工确认,在跨国时差与语言压力下,要在 24 小时内完成法定通报,无疑是拿企业信誉与法律风险开玩笑!
误区三:Legacy产品可以眼不见为净?
别以为库存清完就没事。虽然 CRA 全面强制执行是在 2027 年 12 月 11 日,但其中的「主动漏洞通报义务」将于 2026 年 9 月 11 日提前生效。 这意味着,即使 legacy 产品是在2027年12月10日前卖出的,只要2026年9月后,该产品仍在生命周期内且发生了漏洞或网安事件,身为制造商的你就必须遵守通报义务,并免费提供缓解方案给用户。各位老板若现在还抱着「眼不见为净」的心态,届时将措手不及。
面对CRA合规生存指南:解答制造业最头痛的三个大哉问
面对来自欧盟市场的这场风暴,相信台湾的OEM/ODM、品牌商、RD、PM与认证团队一定充满了疑问。以下针对业界最关心的三个常见问题,提供第三方的观察:
FAQ01:「我只是 OEM/ODM 制造商,CRA实施后出货到欧盟,怎麽做才不会被罚钱?是不是把合规责任推给品牌方就好了?」
死道友也会死贫道。 法律责任确实在品牌方,但在CRA的技术文件(Technical Documentation)要求下,品牌方将更有压力要求身为代工厂的你提供符合标准的软件物料清单(SBOM)、风险评估报告或安全开发流程证明,若您无法提供,品牌商为了自保,唯一的选择就是「换掉供应商」。
换句话说,产品网安合规能力,将是代工厂未来的接单入场券。ISA台湾分会的专家们会建议您尽快在内部进行以下三点:盘点资产:无论产品型号新旧,先确认哪些产品会卖到2027年后。生成SBOM:搞清楚贵公司的产品里用了哪些开源软件元件。建立通报机制:确保2026年9月前,贵公司有人员与窗口能处理漏洞通报。
FAQ02:「我们公司已经有ISO 27001和IEC 62443-4-1认证,这样在CRA合规的部分是不是就可以安全下庄了呢?」
这里必须厘清一个关键差异:ISO 27001 是针对『组织资产管理(ISMS)』,而 CRA 则是针对『产品安全(Product Security)』。 虽然 ISO 27001 代表贵公司有网安治理的基础,但它无法涵盖产品本身的技术安全性。
相较之下,ISA/IEC 62443-4-1(安全开发生命周期) 才是真正对接CRA要求的核心。拥有此认证代表贵公司在产品设计阶段就已纳入网安考量(Secure by Design)。
因此,已经有 4-1 认证的团队,接下来的重点在于衔接CRA特有的市场准入行政要求(如:欧盟符合性宣告DoC、漏洞协调揭露流程)。而仅有ISO 27001的公司,则需尽速补强产品研发端的技术标准,建议从 ISA/IEC 62443系列标准入手,才能真正填补从『组织网安』到『产品网安』的鸿沟。」
还未开始规划的研发团队主管们,你们还在等后面的EN 40000-1-x调和标准吗?不要等,现在就启动 ISA/IEC 62443-4-1 SDLC的导入以优化现有流程。目前prEN 40000-1-x系列标准是ETSI、CEN/CENELEC 等组织正在制定的CRA调和标准(Harmonized Standards),仍在草案阶段。
然而,若等到2026年才开始改善SDLC流程,绝对来不及赶上CRA订于2027年的实施日期。若有兴趣进一步深入了解,也可参考欧盟执委会CRA专家小组的核心成员之一 : Dr. Lukasz Kister 在2025年9月份透过ISA台湾分会与台湾电子制造业界朋友们提出的几个关键挑战与应对策略。
FAQ03:「听说CRA会将产品依风险等级分类,我的产品会属于哪一类?对应的合规义务会不同吗?」
CRA 将产品依风险等级分为四大类,潜在风险由轻至重分别为:缺省产品(Default):市面上约90%产品(如智能台灯、普通家电)会在这个类别。可采「自我宣告」,合规成本最低。
重要产品一类(Important Product Class I): 如操作系统、防火墙、工业控制系统、微处理器。重要产品二类(Important Product Class 2): 这类产品通常需要「第三方验证机构(Notified Body)」介入。关键产品(Critical Product):如智能卡读卡机、智能电表产品等,合规成本最高。
横跨这四大不同类别产品,将会有一系列的调和标准(Harmonized Standards)做为合规中心思想,类似所有产品场应该要做到的最低门槛。例如:产品的风险评估报告、持续的软件安全更新机制必须提供至少 5年(或产品预期寿命)的安全支持期等。随后欧盟执委会将再公告不同类型产品建议参考的垂直标准(Vertical Standards),这些不同的垂直标准将对应至不同风险的PwDEs,让制造商尚未导入合适标准的厂商,可参考这些标准做为的合规依据。
整体CRA要求中,除了上述的三项要点之外,还有机器可读取的SBOM(软件物料清单)、2026年9月11号要落实的漏洞通报机制、供应链的风险控管、欧盟市场B2B商务合作等在落地时会遇到的痛点,让我们在后续的文章中再继续详述。
结语:将「合规」转化为「订单」
CRA可以预期是一场对台湾制造业的「大洗牌」,对于习惯削价竞争、忽视开发流程品质的厂商来说,这确实是灭绝级的挑战;但对于愿意转变mindset,重视产品全生命周期网安需求的企业而言,CRA筑起的这道高墙,将成为你阻挡低价竞争对手的最佳护城河。
竞争优势不是等出来的。建议各位企业主现在就启动CRA合规专案小组,评估现有产品线的风险等级,并着手将网安标准纳入研发流程。若您对如何将国际标准(如 ISA/IEC 62443)衔接至CRA感到迷惘,欢迎联系ISA台湾分会的专家团队,我们将提供实务经验协助您在风暴中站稳脚步。(本文由ISA台湾分会提供,DIGITIMES整理)
