工具 · 製造商查核清單

合規矩陣

含數位元素產品之製造商的每一項義務，依產品生命週期逐一列出並附上條文出處。逐項處理並追蹤您的進度；整份查核清單可免費查看。進度會保存在此瀏覽器中。

0% 完成0 / 40 項

列印

預設 · route

預設產品可依 Module A 進行自我評鑑。無須公告機構，但完整的技術檔案與 DoC 仍須齊備。

1 · 基礎

公司層級的基礎

0 / 4

在任何產品特定工作開始之前，必須先就緒的組織層級要求。

書面記錄的安全開發生命週期（SDL）維護一套書面記錄的 SDL，明定各階段、角色與職責。外部認證（IEC 62443-4-1、ISO/IEC 27001）非屬必要，但可形成符合性的推定。

第 13(1) 條 · 附件 I未完成

符合 SDL 的證據在未持有外部認證的情況下，保存符合 SDL 之內部符合性的書面證據。

附件 I · 第 I 部分未完成

SDL 涵蓋設計即安全與預設即安全新SDL 必須明確說明產品如何在無須終端使用者進行設定的情況下最小化其攻擊面。

附件 I · I(2)(3)未完成

EU 授權代表（EU 境外製造商）新EU 境外的製造商須以書面授權指定一位設立於 EU 境內的代表，並於技術文件與 DoC 中載明其名稱。

Art. 19未完成

2 · 開發前

開發開始之前

0 / 9

分類、風險評估與技術前提條件，為後續一切工作劃定了範圍。

判定產品分類新工具可用識別產品屬於預設、重要第 I／II 類，還是關鍵（附件 III 與 IV）。分類決定了符合性評鑑途徑。

附件 III／IV未完成

識別符合性評鑑途徑新預設：Module A 自我評鑑。重要第 I 類：採用協調標準時可用 Module A，否則為 B+C 或 H。重要第 II 類與關鍵：一律須透過公告機構。前置作業時間通常為 4–10 個月。

第 32 條 · 附件 VIII未完成

產品特定的網路安全風險評估在開發前執行風險評估。保留所有版本；最初的開發前版本即為技術文件的一部分。

附件 I · I(1)未完成

威脅建模新識別攻擊面、威脅來源者、攻擊向量，以及由此衍生的安全要求。並記錄所採用的方法。

附件 I · I(1)未完成

第三方與開源元件政策新工具可用定義第三方與開源元件的選用、評估與核准方式，包括最低 EOL 與漏洞回應義務。

附件 I · 第 II 部分未完成

工具與相依項目的 EOL 檢查工具可用查核所有關鍵工具、核心、資料庫與函式庫的生命週期終止（EOL）日期。避免採用 EOL 落在產品支援壽命之內的元件。

附件 I · 第 II 部分未完成

儲存加密的可行性確認目標硬體支援待用資料（data at rest）加密；這是一項強制要求，可能迫使您變更硬體。

附件 I · I(4)(e)未完成

最小化攻擊面的設計新規劃將每一個非預期功能所需的介面、服務、連接埠與協定，預設予以移除或停用。

附件 I · I(2)(b)未完成

預設憑證政策新出貨時不設預設密碼，或強制使用者在首次使用時設定一組獨有的憑證。

附件 I · I(2)(c)未完成

3 · 開發

開發期間

0 / 5

安全的程式撰寫、測試與更新機制，並在整個建置過程中提供佐證。

以網路安全為重點的測試計畫針對身分驗證、存取控制、輸入驗證、加密與錯誤處理的測試案例。並予以記錄並保存於技術檔案中。

附件 I · I(1)未完成

符合 SDL 的證據以書面證據證明每一階段皆遵循了 SDL。

附件 I · 第 I 部分未完成

滲透測試／漏洞評估新在發布前，對產品或具代表性的建置版本進行安全測試。

附件 I · I(1)未完成

安全的軟體更新機制新一套經過身分驗證且完整性受驗證的更新機制，可在安裝前由裝置加以驗證，並於可行時自動進行。

附件 I · I(2)(f)未完成

資料最小化新僅收集、處理與儲存達成預期功能所嚴格必需的資料。

附件 I · I(4)(f)未完成

4 · 發布前

產品發布之前

0 / 12

SBOM、網路稽核、EOL、符合性評鑑、CE 標誌與技術檔案。

已備妥 SBOM 並完成漏洞篩查工具可用準備一份至少涵蓋所有頂層相依項目的 SBOM，並查核沒有任何元件帶有已知且已修補的漏洞。納入一個已解決的 CVE 即屬直接違規。

附件 I · II(1)未完成

機器可讀格式的 SBOM新工具可用將 SBOM 儲存為 SPDX 或 CycloneDX（JSON／XML）。PDF 可能因非機器可讀而遭拒。

附件 I · 第 II 部分未完成

入站連線清單逐一列出每一個入站連線與開放連接埠並說明其正當性；對任何非必要者，預設予以移除或停用。

附件 I · I(2)(b)未完成

外送連線清單稽核所有外送連線並說明其正當性，包括來自作業系統、第三方函式庫與遙測的連線。

附件 I · 第 I 部分未完成

聲明產品的生命週期終止（EOL）工具可用計算並聲明 EOL；其不得超過關鍵相依項目的 EOL。除非預期使用壽命較短，支援期間至少為 5 年。

Art. 13(8)未完成

完成符合性評鑑新執行適用的程序（Module A，或 B+C／H／公告機構），並在加貼 CE 標誌前加以記錄。

Art. 32未完成

準備 EU 符合性聲明新工具可用依附件 V 草擬並簽署 DoC，引用本法規、產品與評鑑程序。保存以供取用 10 年。

第 28 條 · 附件 V未完成

加貼 CE 標誌新加貼顯眼、清晰且不可磨滅的 CE 標誌。自 2027 年 12 月 11 日起，沒有 CE 標誌即無法進入 EU 市場。

Art. 30未完成

彙編技術檔案新彙整附件 VII 所需的整套文件：說明、風險評估、SDL 證據、測試結果、SBOM、連線稽核、DoC 與 EOL 聲明。

第 31 條 · 附件 VII未完成

10 年保存計畫新自首次投放市場起，將所有技術文件（包括每一版 SBOM）封存保留至少 10 年。

Art. 31(3)未完成

面向使用者的文件新傳達預期用途、網路安全性質、如何設定安全功能、所聲明的 EOL，以及如何通報漏洞。

附件 II · 第 13(18) 條未完成

已公布漏洞揭露聯絡窗口新公布一個單一、且受到主動監控的漏洞通報聯絡窗口。

Art. 13(5)未完成

5 · 發布後

產品發布後

0 / 10

持續性監控、第 14 條的通報時程，以及支援期間內的更新義務。

於發生重大變更時更新風險評估當識別出重大產品變更、重要的新威脅或遭利用的漏洞時，即重新評估；並記錄其觸發事由與結果。

附件 I · I(1)未完成

自動化 SBOM 漏洞監控工具可用部署能將 SBOM 元件對照即時資料來源（NVD、EUVD、OSV）進行監控的工具，且頻率須足以滿足 24 小時的通報時限。人工監控並不足夠。

Art. 14未完成

24 小時初步漏洞報告新在察覺到正遭主動利用的漏洞時，須於 24 小時內透過 ENISA 的單一通報平台提交初步報告。自 2026 年 9 月 11 日起適用。

Art. 14(2)未完成

72 小時技術報告新於 72 小時內向 ENISA 與國家 CSIRT 提交一份詳盡的技術報告，包括嚴重程度與任何緩解措施。

Art. 14(3)未完成

於修補後 14 天內提交最終報告新在安全性更新或替代解決方案可供取得後，最遲於 14 天內提交最終報告。

Art. 14(4)未完成

嚴重事件通報新依相同的 24／72 小時時程通報影響產品安全的嚴重事件。

Art. 14(2)未完成

針對第三方漏洞的自動更新維護一套能修補第三方元件漏洞的自動更新系統。於 24 小時內完成修補可免除通報，但不免除修補本身。

Art. 14(2)(a)未完成

免費的安全性更新新在支援期間內免費提供所有安全性更新。

Art. 13(9)未完成

生命週期終止（EOL）的事前通知新於可行時，至少在最後一次安全性更新前 12 個月通知使用者。

Art. 13(8)未完成

針對不符合產品的矯正措施新對不符合的產品進行修補、撤回或召回，並通知市場監督。不作為本身即屬違規。

Art. 13(14)未完成

查核清單結束 · 全部 40 項已於上方顯示

匯出（選填）

連同您目前的進度一併匯出您的矩陣

以上所有內容皆可免費閱讀與列印。若要將查核清單及您的即時狀態下載為試算表或 PDF，請留下電子郵件，我們會將您加入 CRA 電子報。