聯系電話:

+886 2 77182788

免費試用

產業資安發展背景 

隨著連網產品逐漸普及於工業 (OT/ICS)、消費性設備及關鍵基礎設施,攻擊事件(如供應鏈攻擊、邊境硬體入侵、軟體漏洞利用)層出不窮。過去多依賴 IT 領域安全標準(如 ISO 27001、NIST SP 800-53),但難以兼顧產品生命週期管理或供應鏈軟硬體組成的複雜性。歐盟於 2022 年提出《Cyber Resilience Act(CRA)》法規草案,致力於建立針對整個產品生命週期的網路韌性框架,引領全球連網產品合規浪潮,並計劃於 2025 年生效。

 CRA 強調設計、開發、生產、交付以及售後整個生命週期的安全要求,對軟體、硬體及其組成部件之供應鏈皆予以規範,突破傳統僅針對系統營運環境的資安標準侷限。法規將所有連網產品劃分為等級,並要求貫徹“安全預設(Secure by Default)”、“安全設計(Security by Design)”等核心理念。

CRA 與其他標準的對應與補充 

CRA 並未取代 ISO 27001、IEC 62443、ISO/SAE 21434 等現行標準,而是提供更明確的聯網產品導向方案。企業應將 CRA 和現有資安管理規範(如產品 SSDLC、事件應變流程、供應鏈安全審查)整合,提升組織在全球市場的合規韌性與競爭力。 

難點和挑戰

  • 產品軟體供應鏈及 SBOM 的管理複雜性

  • 產品軟體漏洞持續監測

  • 持續更新及快速漏洞回報所需的組織協作與技術支援

  • 多國標準整合與基線要求理解困難

  • 關鍵產品須通過第三方/外部認證,導致時程與成本壓力

實踐對策

  • 導入現代化安全開發流程(SSDLC),涵蓋威脅建模、靜態/動態分析(SAST/DAST)、自動化測試。

  • 部署軟體組成分析(SCA)工具,自動產生及維護 SBOM,追蹤開源元件漏洞 (CVE)。

  • 定期舉辦資安教育訓練,強化跨部門協作之事件回報與應變處理。

  • 評估佈署主流資安工具(如 QAC、Klocwork、ONEKEY、FOSSID 、HydraVision),助攻 CRA 認證。

CRA 架構與適用範圍

  • 適用範圍

  • 產品分類與風險等級

  • 生命週期管理要求

  • 基本文檔與資訊揭露義務

  • 合規評鑑與市場監管

  • 適用範圍

    ​CRA 規範適用於任何於歐盟市場銷售之具備數位元件(Hardware/Software)的產品及其組件(如 IoT 裝置、通訊模組、車載系統等)。

  • 產品分類與風險等級

    依產品本身特性、應用情境(如消費/工業/關鍵基礎設施)採用差異化要求。高風險產品(Class I/II: 關鍵基礎設施、Critical、身份驗證設備、遠端管理模組等)須執行更嚴謹的合規程序(如第三方認證)。

  • 生命週期管理要求

    從設計(Design)、開發(Development)、生產(Production)、交付(Delivery)、營運(Operation)、維護(Maintenance)到淘汰,均需有明確安全保護及事故應變預案。特別要求: 


    軟體和韌體的持續性安全更新機制 

    完整的軟體物料清單(SBOM, Software Bill of Materials) 

    事件回報(Incident Reporting)於發現資安事件後 24 小時通報歐盟主管機構及受影響用戶 

    供應鏈資安風險管理 

  • 基本文檔與資訊揭露義務

    交付說明書須揭露產品資安能力、限定用途、已知限制、壽命終止相關資訊及安全更新政策。

  • 合規評鑑與市場監管

    針對 Class I/II(高風險級)、Critical關鍵產品,強制第三方稽核認證。 

    一般產品可自我證明(self-assessment),但需隨時接受抽查。 

    未符合 CRA 規範,在歐盟市場將全面禁售與下架,違者罰鍰最高可達全球營業額 2.5%。 

相關產品

RELATED RESOURCES

下載申請

是否需要技術支持

驗證碼

溫馨提示:

我們將通過電子郵件向您發送下載地址,請核對您填寫的工作郵箱是否正確。

提 交