歐盟《網路彈性法案》上報義務即將生效
31 May 2026
歐盟《網路彈性法案》(以下簡稱'CRA')是針對歐盟市場數位化產品的強制性網路安全法規,涵蓋物聯網、智慧家庭、消費性電子、工控及網路通訊設備等品類,對出口歐盟的製造業企業影響深遠。法案要求企業兼顧產品上市前安全設計,以及上市後的漏洞管理、緊急應變與安全更新,建構全生命週期網路安全管控系統。
CRA於2024 年12 月10 日正式生效,將分階段強制實施:
- 2026年9月11日:製造商安全事件與高風險漏洞上報義務生效,需24小時內通報。
- 2027年12月11日:CRA所有核心義務全面實施,新產品須滿足全生命週期安全要求並加貼CE標誌
其中關於製造商上報義務的部分,依據(EU) 2024/2847 Article 14,當製造商發現如下情況時,需在規定時間內向歐盟相關機構進行分階段通報:
- 產品中存在被積極利用的漏洞
- 發生對產品安全產生影響的嚴重事件
一、漏洞上報要求
當製造商得知產品漏洞已遭到實際攻擊利用時,需遵照下述流程進行工作:
1. 早期預警
應在24小時內發出早期預警,再逐步完善訊息,內容通常包括:
- 受影響產品
- 涉及的歐盟成員國
2. 漏洞通知
在72小時內,需進一步提交:
- 所涉及產品的一般訊息
- 所涉漏洞的利用方式及性質
- 已採取的緩解措施
- 使用者可採取的糾正或緩解措施
- 製造商判定所通報資訊的敏感度
3. 最終報告
漏洞修復完成後的14天內,需提交最終技術報告,至少包括:
- 漏洞描述與嚴重程度
- 可提供利用該漏洞的惡意行為者的信息
- 修復方案或安全性更新詳情
二、安全事件上報要求
當製造商獲知發生對產品安全產生影響的嚴重事件時,需遵照以下流程進行處置工作:
1. 早期預警
應在24小時內發出早期預警,再逐步完善訊息,內容通常包括:
- 事件是否由非法或惡意行為導致
- 受影響產品
- 涉及的歐盟成員國
2. 事件通知
在72小時內,需進一步提交:
- 有關事件性質的一般訊息
- 事件的初步評估
- 已採取的緩解措施
- 使用者可採取的糾正或緩解措施
- 製造商判定所通報資訊的敏感度
3. 最終報告
在事件通知後的一個月內,需提交最終報告,至少包括:
- 事件詳細分析
- 事件嚴重程度和影響
- 觸發該事件的威脅類型或根本原因
- 已採取的緩解措施
三、報告對象
CRA要求製造商需透過歐盟單一報告平台(SRP)進行統一的上報,並同步通知:
- 歐盟網路與資訊安全局(ENISA)
- 電腦安全事件回應小組(CSIRT)
四、企業面臨的變化與應對
CRA 所有條款將於2027 年12 月11 日全面落實。新規要求製造商對產品全生命週期承擔網路安全責任,改變了以往僅完成上市前單次合規檢測的模式。
為因應市場准入要求、規避監理風險,企業需事先建置完善的網路安全管理體系,並專注於完善以下能力:
- 產品安全事件回應團隊(PSIRT)建設
- 漏洞與威脅情報監測能力
- 漏洞分級與修復機制
- 安全性更新與修補程式發布流程
- 第三方元件/SBOM管理
- 合規文件留存與審計能力
如有查詢,請電郵至hkmarketing@intertek.com。