01CRA 是什麼
網路韌性法是首部遍及 EU、就下列對象訂定強制性網路安全要求的法律: 含數位元素的產品;涵蓋硬體與軟體;橫跨其整個生命週期。它將安全責任轉移至將這些產品投放市場的組織,而非交由使用者承擔。 Art. 1
實務上,產品唯有在符合附件 I 所載基本要求,且製造商已履行其相關義務的情況下,方得在 EU 市場上供應。其合規由下列方式表彰: CE 標誌.
一句話概括
若您的產品含有數位元素並進入 EU 市場,則必須依一套已界定的網路安全標準加以設計、建構與維護;而且您必須能夠加以證明。
02適用對象
本法規涵蓋含數位元素的產品,其預期或合理可預見的使用方式包含直接或間接的資料連線。各項義務分布於整條供應鏈之中: Art. 13–28
- 製造商;承擔主要義務:設計、文件、符合性評鑑與漏洞處理。
- 進口商;僅得將符合規定的產品投放市場,並須查核製造商已履行其義務。
- 經銷商;須盡應有注意義務,並查核 CE 標誌與文件是否齊備。
適用範圍外
已受特定產業規範涵蓋的產品;例如醫療器材、機動車輛與民用航空;皆排除適用,非商業性開源元件亦同。
03產品等級
所需的符合性途徑取決於產品的關鍵程度。大多數產品採自我評鑑;附件中所列風險較高的類別則面對更嚴格的程序。 Art. 6–7 · Annex III–IV
| 等級 | 範例 | 符合性途徑 |
|---|---|---|
| 預設 | 大多數含數位元素的產品 | 自我評鑑 |
| 重要;I | 密碼管理器、網路管理、VPN | 標準或第三方 |
| 重要;II | 作業系統、防火牆、微處理器 | 第三方評鑑 |
| 關鍵 | 智慧電錶、智慧卡、安全元件 | 強制性認證 |
04主要義務
附件 I 中的基本要求分為兩組;產品必須具備的性質,以及製造商必須運作的流程。 附件 I
- 設計即安全與預設即安全;以安全的組態及最小化的攻擊面交付。
- 無已知可被利用的漏洞;出貨時不含已知可被利用的缺陷。
- 漏洞處理;一套用以識別、記錄、修補與揭露問題的流程。
- 安全性更新;在所定義的支援期間內提供免費且及時的更新。
- 軟體物料清單;維護一份涵蓋產品元件的 SBOM。
- 通報;將正遭主動利用的漏洞與嚴重事件通報 ENISA 與相關 CSIRT,並於 24 小時內提出預警。
05時程與罰則
本法業已生效;其各項義務於其後數年間分階段生效。 Art. 71
- 2024 年 10 月已通過並簽署成為法律。
- 2024 年 12 月已生效。
- 2026 年 9 月通報義務開始適用(生效後 21 個月)。
- 2027 年 12 月全面適用;大多數條文開始適用(36 個月)。
罰則
不符合基本要求者,可處最高 €15,000,000 或全球年度總營業額 2.5% 之罰鍰,以較高者為準。
06接下來該做什麼
先確認本法是否適用於您的產品,再依為您角色所撰寫的指引進行。