合規路徑 · 指引

軟體開發者適用的 CRA 指南

網路韌性法如何適用於軟體產品；從安全開發到漏洞處理、SBOM 與 CE 標誌。

適用於

含數位元素的軟體

符合性

標準或第三方

支援期間

已定義，≥ 預期使用時間

確認適用範圍與等級

Art. 2 · 6

大多數投放 EU 市場且具備資料連線的軟體皆在適用範圍內，而許多開發者工具落入附件 III 的「重要」類別。

✓執行 CRA 快速檢測以確認適用範圍
✓識別您的產品屬於預設、重要還是關鍵
✓將相關推論記錄於您的文件中

本步驟適用的工具

藉由設計將安全性內建其中

Annex I · I

設計並開發產品，使其在整個生命週期內皆符合基本的安全性質。

✓交付一套預設即安全的組態
✓套用身分驗證與存取控制
✓以傳輸中與待用狀態的加密保護資料
✓最小化攻擊面與對外暴露的介面

常見陷阱

在正式版本中仍保留啟用偵錯介面、預設憑證或冗長的錯誤輸出。

本步驟適用的工具

建立漏洞處理機制

Annex I · II

在整個支援期間內，運作一套書面記錄的流程，用以發現、修補與揭露漏洞。

✓公布一套協同漏洞揭露政策
✓提供一個用以通報問題的聯絡窗口
✓毫不無故延遲地修補漏洞
✓一旦更新可供取得，即揭露已修復的漏洞

維護一份軟體物料清單

附件 I · II(1)

保有一份最新的 SBOM，至少涵蓋您產品的頂層相依項目。

✓以機器可讀的格式產生 SBOM
✓追蹤元件及其已知漏洞
✓於每次發布時保持更新

本步驟適用的工具

交付免費且及時的安全性更新

Annex I · I(2)

在所聲明的支援期間內，與功能更新分開並免費提供安全性更新。

✓定義並公布支援期間
✓及時交付安全性更新
✓透過安全的機制散布修補程式

彙整技術文件

附件 VII

彙編證明符合性的文件，並使其可供市場監督取用。

✓產品說明與預期用途
✓網路安全風險評估
✓所採用標準的紀錄

評鑑符合性並加貼 CE

Art. 32 · 36

依您的等級執行符合性評鑑途徑，並完成 EU 符合性聲明。

✓自我評鑑（預設）或使用公告機構（重要／關鍵）
✓編製並簽署 EU 符合性聲明
✓加貼 CE 標誌

本步驟適用的工具

履行通報義務並維護產品

Art. 13(8) · 14

自 2026 年 9 月起，通報正遭主動利用的漏洞與嚴重事件，並在產品的整個支援期間內持續加以維護。

✓於 24 小時內向 ENISA 與 CSIRT 提交預警
✓後續再提交通報與最終報告
✓於適當情形下告知受影響的使用者

您持續性的義務

支援期間須至少為五年（若產品預期壽命較長，則以該壽命為準），自投放 EU 市場時起算。在此期間內，您必須處理漏洞並提供免費的安全性更新；其後每一次更新均須維持可供取得達 10 年，而技術檔案與 EU 聲明亦須保存 10 年。

適用於此角色的免費工具

下方每一項工具皆可免費使用，並會在此處的側邊面板中開啟，讓您不致中斷正在進行的閱讀。

免費CRA 快速檢測

確認本法是否適用，以及您可能屬於的等級。

在此開啟 →免費合規矩陣

對應每一項附件 I 與 VII 的義務，並追蹤至完成。

在此開啟 →免費成本計算器

估算合規的一次性成本與年度成本。

在此開啟 →免費漏洞分析器

將您的 SBOM 對照 NVD 與 EUVD 進行交叉比對，並追蹤生命週期終止的元件。

在此開啟 →免費DoC 產生器

為您的產品產生一份 EU 符合性聲明（附件 V）。

在此開啟 →免費分類查詢工具

依名稱明確判定您的產品屬於預設、重要還是關鍵。

在此開啟 →免費支援期間規劃工具

設定您的最低支援期間，並標示出過早進入生命週期終止的元件。

在此開啟 →

更多指引

其他利害關係人指南

製造商

網路韌性法對含數位元素產品之生產者所課予的義務；從風險評估到 CE 標誌與上市後義務。

閱讀本指南 →

進口商與經銷商

經濟營運者在將含數位元素的產品於 EU 市場上供應之前；以及之後；必須查核的事項。

閱讀本指南 →

如何取得 CE 標誌

為含數位元素的產品聲明符合性並加貼 CE 標誌的各項步驟。

閱讀指南 →

合規步驟

確認適用範圍與等級

藉由設計將安全性內建其中

建立漏洞處理機制

維護一份軟體物料清單

交付免費且及時的安全性更新

彙整技術文件

評鑑符合性並加貼 CE

履行通報義務並維護產品

其他利害關係人指南

製造商

進口商與經銷商

如何取得 CE 標誌