法規 (EU) 2024/2847 的獨立指南 · 狀態:已生效
本頁為自動(AI)翻譯,未經人工審閱。
合規路徑 · 指引

製造商適用的 CRA 指南

網路韌性法對含數位元素產品之生產者所課予的義務;從風險評估到 CE 標誌與上市後義務。

適用於
含數位元素的產品
等級
預設 · 重要 · 關鍵
符合性
依產品等級
標誌
投放市場前的 CE

合規步驟

1

確認適用範圍與分類

Art. 2 · 6 · 7

判定產品落入適用範圍並確立其等級;這將決定後續的每一個步驟。

  • 確認產品含有數位元素且已進入 EU 市場
  • 歸類為預設、重要或關鍵
  • 查核附件 III/IV 的類別清單
本步驟適用的工具
2

執行一份網路安全風險評估

Art. 13(2)

以一份書面記錄的網路安全風險評估作為產品設計的基礎。

  • 識別威脅與適用的風險
  • 判定哪些基本要求適用
  • 將評估結果與您的文件一併保存
為何重要

風險評估是稽核人員與市場監督最先要求查看的基礎文件。

3

符合基本要求

Annex I · I

設計並製造產品以滿足附件 I 的安全性質。

  • 預設即安全的組態
  • 機密性與完整性的保護
  • 基本功能的韌性與可用性
  • 最小化的攻擊面
本步驟適用的工具
4

運作漏洞處理機制

Annex I · II

在整個支援期間內運作一套漏洞處理流程。

  • 維護一份 SBOM
  • 修補並揭露漏洞
  • 提供免費的安全性更新
本步驟適用的工具
5

彙編技術文件

附件 VII

在將產品投放市場前,彙整並維護完整的技術檔案。

  • 產品說明與風險評估
  • 設計與製造資訊
  • EU 符合性聲明
6

選擇符合性評鑑途徑

Art. 32

選擇與您產品等級相符的評鑑程序。

  • 預設產品適用的 Module A 自我評鑑
  • 重要產品採標準為本或第三方途徑
  • 關鍵產品的歐洲認證
7

聲明符合性並加貼 CE

Art. 28 · 30

完成聲明,並加貼表彰合規的標誌。

  • 編製並簽署 EU 符合性聲明
  • 於顯眼處加貼 CE 標誌
  • 提供使用者資訊與說明
本步驟適用的工具
8

履行上市後義務

Art. 13(8) · 14

監控產品、依規定通報,並在其整個支援期間內維持其安全。

  • 通報正遭主動利用的漏洞與嚴重事件
  • 對不符合的產品採取矯正行動
  • 配合市場監督主管機關
您持續性的義務

支援期間須至少為五年(若產品預期壽命較長,則以該壽命為準),自投放 EU 市場時起算。在此期間內,您必須處理漏洞並提供免費的安全性更新;其後每一次更新均須維持可供取得達 10 年,而技術檔案與 EU 聲明亦須保存 10 年。

適用於此角色的免費工具

下方每一項工具皆可免費使用,並會在此處的側邊面板中開啟,讓您不致中斷正在進行的閱讀。

免費CRA 快速檢測

確認本法是否適用,以及您可能屬於的等級。

在此開啟 →免費合規矩陣

對應每一項附件 I 與 VII 的義務,並追蹤至完成。

在此開啟 →免費成本計算器

估算合規的一次性成本與年度成本。

在此開啟 →免費漏洞分析器

將您的 SBOM 對照 NVD 與 EUVD 進行交叉比對,並追蹤生命週期終止的元件。

在此開啟 →免費DoC 產生器

為您的產品產生一份 EU 符合性聲明(附件 V)。

在此開啟 →免費分類查詢工具

依名稱明確判定您的產品屬於預設、重要還是關鍵。

在此開啟 →免費支援期間規劃工具

設定您的最低支援期間,並標示出過早進入生命週期終止的元件。

在此開啟 →
更多指引

其他利害關係人指南

S

軟體開發者

網路韌性法如何適用於軟體產品;從安全開發到漏洞處理、SBOM 與 CE 標誌。

閱讀本指南 →
I

進口商與經銷商

經濟營運者在將含數位元素的產品於 EU 市場上供應之前;以及之後;必須查核的事項。

閱讀本指南 →
CE

如何取得 CE 標誌

為含數位元素的產品聲明符合性並加貼 CE 標誌的各項步驟。

閱讀指南 →