欧盟CRA法规全解析:软件、韧体到云端 管辖范围一次看懂
- 台北讯
-
在上一篇文章中,我们揭示了欧盟《网络韧性法案》(Cyber Resilience Act;CRA)对台湾出口制造业带来的「灭绝级」挑战。许多老板与研发主管看完后的第一个反应往往是:「我们家做的是传统硬件,只有加一个简单的韧体控制,也没有Wi-Fi上网功能,CRA应该管不到我们吧?」
欧盟CRA法规的核心监管对像是「具备数码元素的产品」(Products with Digital Elements; PwDE)。 在欧盟标准制定组织的定义中,硬件与软件生硬的界线已被彻底打破。今天,ISA台湾分会的专家团队将深入解析CRA的管辖范围、产品分级,并透过 ISA/IEC 62443 标准,为台湾制造商指引一条将法规挑战转化为竞争优势的清晰路径。
什麽是PwDE?厘清CRA管辖范围的三大迷思
为了解决产业界的疑惑,欧盟执委会(European Commission)发布了官方的CRA常见问题解答(FAQs)。我们整理出台湾制造商在判断「产品是否落入管辖范围」时,最常踩坑的三大核心问题:
常见问题01:我的产品算是「具备数码元素的产品(PwDE)」吗?
根据CRA法规(EU) 2024/2847 第 2 条(适用范围)与官方FAQ 1.1,要判断产品是否受CRA管辖,必须「同时满足」以下三个条件:符合PwDE的定义:它包含软件或硬件,或其线上数据处理解决方案。在欧盟市场投放(Placing on the market):无论是收费或免费提供,只要进入欧盟商业活动即算。具备连接能力:其预期用途或合理可预见的用途,包含与设备或网络的「直接或间接」的「逻辑或实体」数据连接。
专家洞察:当心你的「云端服务」也被纳管
在欧盟CRA法规的放大镜下,「具备数码元素的产品(PwDE)」不仅仅指你看得见、摸得到的实体设备,还明确包含了与该设备连动的「线上数据处理解决方案(Remote data processing solutions)」。
判断的黄金准则只有一个:「如果切断这个云端服务,贵公司的硬件还能发挥它宣称的『核心功能』吗?」
如果答案是「不能」,那麽这个云端服务就被视为该产品的延伸,您(制造商)就必须为这个云端服务的网安负起CRA的合规责任,不能把锅推给 AWS、Microsoft Azure或Google Cloud Platform。情境案例:外销欧洲的「智能网络摄影机(IP Camera)」
使用者必须下载专属App,注册帐号连上制造商的云端服务器,才能线上观看实时影像。在CRA的判定上,若没有这个云端后台进行身份验证与影像串流,摄影机就失去了「线上监控」的核心功能。因此,该智能网络摄影机运用云端服务器提供的API服务以及云端存储加密服务的数据解决方案,便需要符合CRA规范。
常见问题02:我们只卖独立的「软件」或「韧体」 这也算PwDE吗?
是的,完全算是PwDE!
根据CRA法规第3条与官方FAQ 1.2,单独投放市场的软件或韧体(Standalone Software or Firmware),本身就被视为「具备数码元素的产品」。这意味着,如果您是一家专门为欧洲工业设备开发操作系统、控制软件、甚至是手机App的纯软件公司,您同样是CRA规范下的「制造商」,必须承担从风险评估到漏洞通报的完整合规义务。
情境案例:台湾马达厂的「智能马达预测性维护」SaaS服务
该方案透过马达传感器将数据传送到「云端分析战情室」,由AI判断维修时机。这种SaaS加购销售模式,将云端平台的「预测能力」做为关键功能。因此,该SaaS服务的开发流程与漏洞管理,必须与硬件一并接受CRA检验。
常见问题03:产品不联网就没事?「数据连接」到底是什麽意思?
这是台湾传统硬件厂商最容易误解的地方!根据欧盟官方FAQ 1.3的解释,数据连接包含:
实体连接(Physical connection):不仅限于网络线!只要能透过实体界面(如USB、序列埠Serial port、SD卡插槽等)进行数据传输,就符合条件。
逻辑连接(Logical connection):包括透过网络协定(TCP/IP)、蓝牙、甚至API界面交换数据。间接连接(Indirect connection):即使设备本身不直接联网,但它会连接到另一台联网的设备(例如一个透过USB连接到电脑,再由电脑联网更新韧体的传感器),这同样受CRA监管。
你的产品属于CRA哪一个分级?四大产品类别解析
确认产品在管辖范围内后,下一步是「产品分类」。CRA根据PwDE自身属性以及其缺省提供的服务受影响时产生的安全风险,将PwDE分为四大类,这将直接决定您企业合规的成本与难度:缺省类别(Default category): 涵盖市面上约90%的产品(如照片编辑、文书处理类软件、硬盘)。这类产品制造商可进行自我评估(Self-assessment)并建立技术文件,合规成本相对较低。
重要产品第一类(Important Products;Class I): 详列于CRA Annex III。包含操作系统、微处理器(MCU)等。可依循调和标准进行自我评估或透过「第三方公告机构(Notified Body)」进行评估。
重要产品第二类(Important Products;Class II): 包含防火墙、入侵侦测与防御系统 (IDS/IPS) 等。此类别强制要求「第三方公告机构(Notified Body)」介入进行审查。
关键产品(Critical Products): 详列于CRA Annex IV。如智能卡(Smartcards)、硬件安全模块(HSM)等。面临最严格监管,必须取得欧盟网络安全认证(如 EUCC)。
从法规到实战:用ISA/IEC 62443破解CRA网安要求
CRA 最核心的产品网安技术要求,全写在附件壹第一部分(Annex I Part 1:Cybersecurity requirements relating to the properties of products with digital elements)。法规要求产品必须「设计依规安全(Secure by design)」,且在交付时「没有任何已知的可利用漏洞」。
对于 RD 与工程团队来说,欧盟法规的文字往往过于抽象。此时,ISA/IEC 62443国际标准就是将法规转化为「工程实作语言」的最佳解方:
落实「无已知的可利用漏洞」与「设计即安全(Secure by Default) 」(对应 IEC 62443-4-1):
CRA 要求在产品的完整生命周期内,将其可能产生或导致的风险纳入考量。这完美对应了ISA/IEC 62443-4-1(安全产品开发生命周期要求)。依循ISA/IEC 62443-4-1所建议的框架(包含威胁建模、设计依规安全、安全实作、安全验证、安全相关问题管理等),制造商能提交及佐证CRA所要求的「技术文件(Technical Documentation)」。
满足「存取控制与机密性」等技术特徵(对应 IEC 62443-4-2):CRA要求产品必须具备身份验证、加密通讯及事件监控能力。这些要求可直接映射(Mapping)到 ISA/IEC 62443-4-2(IACS组件的技术安全要求) 中的各项基本要求(FRs),如FR 1(识别与监别控制)与FR 4(数据机密性)。
厘清系统与云端边界(对应IEC 62443-3-2):当硬件、App与云端被视为一体时,可利用ISA/IEC 62443-3-2(系统安全风险评估) 透过定义「区域与通道(Zones and Conduits)」,清晰划分硬件端、通讯端与云端平台及其服务的网安防护责任。
结论
只要您的产品能透过任何形式「传输数据」或「更新软件」,它就在CRA的管辖范围内。你的产品属于 CRA哪一个分级?四大产品类别解析确认产品在管辖范围内后,下一步是「产品分类」。CRA根据 PwDE 自身属性以及其缺省提供的服务受影响时产生的安全风险, 将 PwDE分为四大类,这将直接决定您企业合规的成本与难度:
缺省类别(Default category): 涵盖市面上约90%的产品(如照片编辑、文书处理类软件、硬盘)。这类产品制造商可进行自我评估(Self-assessment)并建立技术文件,合规成本相对较低。
重要产品第一类(Important Products;Class I): 详列于CRA Annex III。包含操作系统、微处理器(MCU)等。可依循调和标准进行自我评估或透过「第三方公告机构(Notified Body)」进行评估。
重要产品第二类(Important Products;Class II): 包含防火墙、入侵侦测与防御系统(IDS/IPS) 等。此类别强制要求「第三方公告机构(Notified Body)」介入进行审查。
关键产品(Critical Products): 详列于CRA Annex IV。如智能卡(Smartcards)、硬件安全模块(HSM)等。面临最严格监管,必须取得欧盟网络安全认证(如 EUCC)。
从法规到实战:用ISA/IEC 62443破解CRA网安要求
CRA 最核心的产品网安技术要求,全写在附件壹第一部分(Annex I Part 1:Cybersecurity requirements relating to the properties of products with digital elements)。法规要求产品必须「设计依规安全(Secure by design)」,且在交付时「没有任何已知的可利用漏洞」。
对于RD与工程团队来说,欧盟法规的文字往往过于抽象。此时,ISA/IEC 62443国际标准就是将法规转化为「工程实作语言」的最佳解方:落实「无已知的可利用漏洞」与「设计即安全(Secure by Default) 」 (对应 IEC 62443-4-1):CRA要求在产品的完整生命周期内,将其可能产生或导致的风险纳入考量。这完美对应了ISA/IEC 62443-4-1(安全产品开发生命周期要求)。依循ISA/IEC 62443-4-1所建议的框架 (包含威胁建模、设计依规安全、安全实作、安全验证、安全相关问题管理等),制造商能提交及佐证 CRA 所要求的「技术文件(Technical Documentation)」。
满足「存取控制与机密性」等技术特徵(对应 IEC 62443-4-2):
CRA要求产品必须具备身份验证、加密通讯及事件监控能力。这些要求可直接映射(Mapping)到 ISA/IEC 62443-4-2(IACS 组件的技术安全要求) 中的各项基本要求(FRs),如FR 1(识别与监别控制)与FR 4(数据机密性)。
厘清系统与云端边界(对应IEC 62443-3-2):
当硬件、App与云端被视为一体时,可利用ISA/IEC 62443-3-2(系统安全风险评估) 透过定义「区域与通道(Zones and Conduits)」,清晰划分硬件端、通讯端与云端平台及其服务的网安防护责任。
结语与下一步移动:化被动合规为企业优势
请不要再将CRA的法规要求视为单纯的IT问题,这是牵动内外部供应链的「全方面要求」。对于台湾的ODM/OEM厂商与品牌商而言,现在就应该启动贵公司各产品线的盘点工作:
确认即将于 2026年9月后在欧盟市场贩售的产品线有哪些?厘清贵公司产品的预期用途以及归属CRA的哪一类产品范畴?开始依循ISA/IEC 62443-4-1安全产品开发流程以及ISA/IEC 62443-4-2标准所提出的技术要求,进行产品升级。
合规的时钟已经开始倒数。及早导入ISA/IEC 62443系列标准,不仅能确保您的产品在2027年顺利通关欧洲,更能成为您向全球买家证明「我们家产品最安全」的强力护身符!
下一步准备好了吗?
如果您对团队的产品是否落入CRA重要或关键类别仍有疑虑,或者想了解如何将ISA/IEC 62443无缝导入现有研发流程,欢迎与 【ISA台湾分会】 联系。我们可以协助对接专业的标准培训与合规差距分析(Gap Analysis)团队,协助贵公司抢占欧洲市场先机。
