欧盟CRA强制执行倒数 叡扬携手各界专家助台湾产业迎战国际法规
- 吴冠仪/台北
-
随着全球网安法规加速落地,产品安全已不再是单一产业的议题,而是所有含数码元件的产品与服务共同面临的国际挑战。欧盟议会通过投票正式批准了「欧盟网络韧性法案」(Cyber Resilience Act;CRA)已于2024年12月生效,并将在2027年全面强制执行。
该法案要求所有含数码元件的软硬件制造商必须在产品生命周期中持续落实SSDLC(Secure Software Development Life Cycle)导向的安全管理,确保从设计、开发、部署到维护全程具备可追溯、可稽核的网安控制。
不仅不得出现已知可利用漏洞,一旦发现重大漏洞,制造商需24小时内进行通报,并在14天内完成修补并送交初步补救报告 ,后续也需于一个月内向主管机关提交完整补救报告,未能遵循者将面临最高可达全球营收2.5%的巨额罚款。
为协助台湾产业掌握国际法规趋势并提前布局,叡扬信息于2025年8月曾举办「产业升级×接轨国际:制造业软件安全开发高峰会」,会中特别邀请专注在C语言检测的CodeSonar副总裁Mark Hermeling来台深入解析CRA带来的冲击,并展示如何透过深度静态分析,在C语言与嵌入式系统开发早期就能发现传统检测难以捕捉的高风险弱点。
值得一提的是,CodeSonar的开发商CodeSecure已于2025年6月与AdaCore正式合并,共同致力于提供更全面的嵌入式软件安全与高可靠性解决方案,助力关键产业面对日益严峻的网安法规与挑战。
延续叡扬信息长期推动软件安全领域的投入,日前叡扬信息亦携手财团法人信息工业策进会网安科技研究所、台湾区电机电子工业同业公会与各界专家,日前举办「因应欧盟韧性法案(CRA)跨足欧盟市场研讨会」,共同探讨欧盟国际法规对产品生命周期、软件供应链治理与跨国市场竞争力的影响,并提出符合国际标准的实务对策。
面对CRA法规所要求的「安全设计」、「持续弱点管理」与「可稽核证据」等义务,叡扬信息强调,企业需要的并非更多工具,而是能真正让安全流程落地的能力。此外,完善的SBOM(Software Bill of Materials)与元件治理同样至关重要,透过完整的元件清册与版本追踪,企业才能在漏洞公告发布时快速掌握受影响范围、采取修补移动,并生成可供稽核的法遵证据,这也使SBOM成为协助企业提升产品生命周期透明度、回应国际法规要求的重要基础。
随着CRA、UNECE R155/R156与全球多国法规相继上路,全球产业正在迈入「软件安全即产品品质」的新时代。叡扬信息专注于软件技术与应用服务已逾30年,在网安领域累积超过20年的实务经验,凭藉在安全软件开发生命周期(SSDLC)、零信任架构与供应链安全上的深厚实务经验,协助企业从设计、开发、测试到部署与维运,都能以国际法规为基准建立完整的安全治理体系,协助企业建立符合CRA要求的证据链,从弱点管理、SBOM更新、DevSecOps流程到执行期防护与云端态势管理,转化成企业日常可运作、可延续的能力。
