常見問答

分類依產品的核心功能而定，而非其所包含的每一項功能。若核心功能符合附件 III 所列的某一類別，則產品為「重要」（第 I 或第 II 類）；若符合附件 IV，則為「關鍵」；否則為「預設」。諸如身分管理或 VPN 等僅作為一項功能納入的能力，除非屬於產品的核心目的，否則不會使產品成為「重要」。若有多個類別可能適用，則適用較嚴格的等級。 Art. 7

在商業活動之外開發的非商業性開源軟體大致不在適用範圍內。開源軟體管理者負有一套較輕度且量身打造的義務。在商業活動過程中供應的開源元件則可能落入適用範圍。

獨立服務一般不在 CRA 適用範圍內。然而，產品執行其功能所必需的遠端資料處理解決方案，則視為該產品的一部分並納入適用範圍。 Art. 3(2)

是。CRA 適用於投放 EU 市場的產品，不論製造商設立於何處。EU 境外的製造商必須確保有一位設立於聯盟境內的經濟營運者就相關義務負責。

它們分屬附件 I 的兩個部分：產品必須具備的安全性質（預設安全、機密性、完整性、可用性、最小化攻擊面、安全性更新），以及製造商必須運作的漏洞處理流程（SBOM、修補、協同揭露）。 附件 I

需要。製造商必須識別並記錄產品中所含的元件，包括以常用、機器可讀的格式編製一份軟體物料清單。 附件 I · II(1)

支援期間是製造商必須提供安全性更新的這段時間。它必須反映產品合理預期的使用期間；執委會指引指出，除非預期使用較短，否則一般而言應至少為五年。 Art. 13(8)

正遭主動利用的漏洞及影響產品安全的嚴重事件，須通報 ENISA 與相關 CSIRT。預警須於察覺後 24 小時內提出，其後再提交較完整的通報與最終報告。 Art. 14

本法已於 2024 年 12 月 10 日生效。通報義務自 2026 年 9 月（21 個月後）起適用，而大部分義務則自 2027 年 12 月（36 個月後）起適用。 Art. 71

違反基本要求或製造商義務者，可處最高 €15,000,000 或全球年度總營業額 2.5% 之罰鍰，以較高者為準。其他違規行為及提供不正確資訊則適用較低的罰鍰上限。

第 14 條的通報義務自 2026 年 9 月 11 日起具強制執行力。ENISA 正依第 16 條建置單一通報平台，製造商將透過該平台向 ENISA 與國家 CSIRT 通報正遭主動利用的漏洞與嚴重事件；該平台預計於該日期前上線運作。 Art. 14

執委會的標準化委託 M/606 已於 2025 年獲 CEN、CENELEC 與 ETSI 接受，涵蓋約 41 項標準（橫向與產品特定標準）。兩項核心橫向標準（安全開發與漏洞處理）預計於 2026 年 8 月 30 日前完成，垂直產品標準於 2026 年 10 月 30 日前，其餘橫向標準則於 2027 年 10 月 30 日前，皆趕在 2027 年 12 月全面適用之前。遵循一項已引用的協調標準即可獲得符合性的推定。 附件 I

依您的產品等級執行符合性評鑑途徑，彙編技術文件，編製並簽署 EU 符合性聲明，然後加貼 CE 標誌。預設產品可自我評鑑；重要與關鍵產品則須採用更嚴格的途徑。 Art. 28 · 32

先以 CRA 快速檢測確認適用範圍與等級，再依為您角色所撰寫的指南進行，並運用合規矩陣追蹤各項基本要求至完成。