歐盟《網路韌性法》有5億罰款和產品召回處分 台商要打造垂直整合法遵力避風險

財經

歐盟近年來針對數位市場的監管力道前所未有,隨著《網路韌性法案》(Cyber Resilience Act, CRA)正式頒布並分階段實施,這項堪稱數位產品「資安版CE認證」的法規,已成為台灣製造業與科技業出口歐洲不容忽視的實務挑戰。

台灣作為全球電子資通訊(ICT)、工業自動化與智慧物聯網(IoT)的供應鏈重鎮,大量外銷產品皆具備聯網與資料處理功能,如何精準解讀CRA並在時限內落實合規,不僅關乎市場進入權,更是維持國際競爭力的關鍵轉折點。

數位產品銷歐的資安新門檻:誰該適用與不合規的致命代價

哪些輸出歐盟的產品具有CRA適用議題?

CRA的管轄範圍極為廣泛,只要是「具備數位元素的產品」(Products with Digital Elements, PDE),不論是硬體、軟體還是獨立的數位零組件,只要能直接或間接連接到網路或其他設備,均在規範之列。

這意味著台灣出口大宗的筆記型電腦、智慧手機、伺服器、工業交換器、網路通訊設備、PLC(可程式邏輯控制器),甚至是家用智慧家電、智慧手錶及可聯網的智慧玩具,皆無一倖免。

只有少數已受其他專門法規高度規範的領域(如汽車、醫療器材、航空與海事設備),或純粹非商業用途的開放原始碼軟體及獨立運作的SaaS(軟體即服務)得以排除。換言之,只要台商的產品含有微處理器、韌體或軟體,且規劃賣向歐盟,就必須正視CRA適用議題。

未能合規將面臨哪些後果?

CRA並非不具約束力的倡議,而是帶有巨額罰則與市場強制力的法律。若台商未能及時取得合規證明並貼上CE標誌,其後果對企業營運將是毀滅性的衝擊:

•鉅額行政罰鍰:違反CRA本質資安要求或符合性評估規定的企業,最高可處以高達1500萬歐元(約合新台幣5億元),或該企業全球前一財政年度總營業額的2.5%(以較高者為準)。即使是違反通報義務或提供錯誤資訊,也可能被處以最高1000萬歐元或1.5%全球營業額的罰款。

•市場限令與強制召回:歐盟各成員國的市場監督機構有權強制將不合規的產品自架上撤除、禁止進入歐盟市場,甚至命令製造商自全歐洲消費者手中召回已售出產品,這將導致企業面臨巨大的庫存呆滯與商譽損失。

•供應鏈除名危機:歐盟當地的品牌商與進口商在《網路資訊安全指令修訂版》(NIS 2)的驅使下,正嚴格審查供應鏈的風險。台商若無法證明其ODM/OEM產品符合CRA,將在第一時間被歐洲核心客戶自供應商名單中剔除,喪失市場核心份額。

CRA合規的分級原則與台灣三大出口產品的定位

CRA合規的分級原則:

CRA並非對所有數位產品採取「一刀切」的管制,而是根據產品的功能重要性、在網路環境中的權限等級,以及一旦遭受攻擊所引發的連帶風險,將產品劃分為以下四個等級。不同的分級,直接決定了製造商必須履行的符合性評估程序(Conformity Assessment Procedures)嚴格程度:

CRA並非對所有數位產品採取「一刀切」的管制,而是根據產品的功能重要性、在網路環境中的權限等級。(圖片來源/作者提供)

1.預設/一般性合規類產品(Default):占所有市場產品的九成以上。這類產品若發生資安事件,對整體網路或人身安全的連帶破壞力較低。製造商可採取內部自我評估(Module A)的方式證明合規。

2.重要類別 Class I(Important Class I):包含對整體系統或資安具備一定影響力的產品,例如:網頁瀏覽器、密碼管理器、智慧家庭安全防護系統(智慧門鎖、防盜警報器、安全攝影機),以及消費級與SOHO級的有線/無線路由器、數據機。這類產品若完全採用歐盟調和標準(Harmonised Standards),允許自我評估;否則必須經由第三方公告機構(Notified Body)進行驗證。

3.重要類別 Class II(Important Class II):風險與權限更高、影響層面更廣的硬軟體,如:桌上型與行動裝置作業系統、公鑰憑證機構(PKI)軟體、網際網路防火牆(Firewalls)、工業級入侵偵測/防禦系統(IDS/IPS)。此級別強制必須經由第三方公告機構評估,無自我評估空間。

4.關鍵類別(Critical):涉及高度敏感與國家基礎設施等級的安全元件,如智慧電表網閘(Smart Meter Gateways)、硬體加密安全盒等,需經過最嚴格的國家級或特定高階第三方驗證。

台灣輸出歐盟前三大類產品的主要類別與CRA初步研判

結合台灣經濟部統計之對歐出口主力項目,台灣外銷歐盟前三大類具數位元素之產品,其CRA分類與對應要求初步研判如下:

製造商必須在內部建立嚴謹的研發與維護流程,隨時準備接受歐盟主管機關的抽查。(圖片來源/作者提供)

針對一般性合規類產品(Default)應滿足的要件與佐證文件紀錄

雖然多數台商的工業電腦或智慧物聯網周邊屬於「一般性合規類產品(Default)」,允許自我評估,但「自我評估」並不等於「隨便做做」,製造商必須在內部建立嚴謹的研發與維護流程,隨時準備接受歐盟主管機關的抽查。

製造商必須滿足的核心要件:

•安全設計與預設安全(Security by Design & by Default):產品在架構規劃階段就必須導入資安考量,出廠時必須關閉不必要的通訊埠、禁止使用預設密碼、具備加密傳輸機制。

•漏洞生命週期管理(Vulnerability Management):製造商必須承諾在產品的典型使用壽命內(至少5年),持續監控新出現的漏洞、免費提供資安更新補丁,並建立公開的漏洞回報管道。

•重大事件與漏洞通報: 依據法規,一旦發現已被惡意利用的漏洞或遭受重大資安事件,必須在 24小時內 向歐盟網路安全局(ENISA)及國家主管機關進行初步通報。

必須產出並留存(至少10年)的佐證文件紀錄

1.網路安全風險評估報告(Cybersecurity Risk Assessment): 詳細記錄產品在設計階段識別出的資安風險,以及後續採取了哪些硬體或軟體控制措施來降低這些風險。

2.軟體物料清單(SBOM, Software Bill of Materials):明列產品內含的所有開源軟體(Open Source)、第三方元件、商業軟體庫及其精確版本號,用以證明能追蹤並在第一時間修復漏洞。

3.安全開發生命週期(SDL)流程紀錄:包含原始碼靜態掃描(SAST)、動態測試(DAST)、弱點掃描及滲透測試的完整報告與修復紀錄。

4.技術文件(Technical Documentation)與歐盟符合性聲明(EU Declaration of Conformity):闡述產品架構、系統設計圖解,並由企業法定代表人簽署符合CRA Annex I 基本要求的聲明書,以便在產品貼上CE標誌後合法銷售。

三維一體:拆解CRA合規的本質與三方專家協同之必要性

CRA法規的核心精神,在於將傳統硬體的「產品安全(Safety)」概念,全面延伸至「數位世界的網絡韌性(Cyber Resilience)」。這項任務絕非單一工程師、特定品保部門或法務法規人員可以獨自完成。CRA合規的本質,是由「資安技術面」、「程序制度面」與「法律面」三條主線交織而成的立體工程,任何一面的斷裂都會導致合規失敗。

CRA合規的本質,是由「資安技術面」、「程序制度面」與「法律面」三條主線交織而成的立體工程,任何一面的斷裂都會導致合規失敗。(圖片來源/作者提供)

三大本質層面的核心注意事項

1. 資安技術面:合規的「基石」

技術面聚焦於產品本身的抗禦力。台商常犯的錯誤是將資安視為產品出廠前的「期末考」,而非貫穿始終的基因。

核心注意點: 必須落實最小權限原則、數據加密、防竄改(Secure Boot)與身分驗證。技術人員必須深入理解如 IEC 62443-4-2(工業自動化元件安全)或 ETSI EN 303 645(消費性物聯網資安)等國際標準,將抽象的CRA法規附件一(Annex I)要求轉化為代碼(Code)與硬體電路設計。

2. 程序制度面:合規的「骨架」

程序面聚焦於企業如何「證明」自己能持續維持產品安全。CRA處罰最重的往往不是產品被黑客攻破,而是企業缺乏管理漏洞的標準流程。

•核心注意點:製造商必須建立符合 IEC 62443-4-1 或 ISO 27001 / ISO 21434 精神的安全開發生命週期(SDL)。包含如何管理SBOM、漏洞被揭露時的應變機制、如何在不影響設備運作下推送OTA更新、以及24小時內向ENISA通報的內部演練程序。

3. 法律面:合規的「邊界」

法律面聚焦於權利義務的釐清與合規邊界的界定。CRA是一項不折不扣的歐盟法律,帶有高度的條文解釋空間與地緣政治色彩。

•核心注意點:精準界定產品歸屬哪一類CRA分級(落入Class I或Class II將面臨完全不同的成本);審查企業與歐洲進口商、經銷商、ODM客戶之間的合規責任轉嫁合約;評估若發生資安漏洞未及時通報時的法律免責條款與跨境訴訟風險。

為什麼需要跨領域專家協同?缺少其中一種的後果與影響

這三個層面相輔相成,若缺乏其中一種專家,企業的合規之路將會漏洞百出,產生嚴重的後遺症:

三個層面相輔相成,若缺乏其中一種專家,企業的合規之路將會漏洞百出,產生嚴重的後遺症。(圖片來源/作者提供)

缺乏法律專家:陷入「盲目合規」的法律泥潭

影響與後果:僅靠技術與ISO工程師,極易在產品分級上出現誤判。例如,誤將可以自我評估的「一般類」產品當作「Class I」來做,投入大筆不必要的第三方驗證規費;或者更糟的是,將應屬Class I的網通產品誤判為一般類,導致產品直接在歐盟海關被扣留。此外,與歐盟客戶簽訂OEM合約時,若無法律專家把關,台商可能在不知不覺中承擔了原本應由歐洲進口商負責的法律通報與連帶賠償責任。

缺乏程序制度專家:面臨「斷代合規」的流程斷層

影響與後果:即使技術專家研發出非常安全的產品,若缺乏程序制度專家將流程制度化(例如缺乏對應IEC 62443-4-1的體系),企業將無法產出符合CRA要求的「技術文件包(Technical Documentation)」。當面臨歐盟主管機關抽查時,企業拿不出可追溯的SBOM管理紀錄、拿不出漏洞通報演練白皮書,直接被判定程序不合規。更無法面對未來產品小改版時,如何維持合規延續性的考驗。

缺乏資安技術專家:流於「紙上合規」的致命虛胖

影響與後果:這是許多仰賴傳統ISO文管顧問公司最常遇到的痛點。法務與程序顧問可以寫出非常漂亮的政策與切結書,但回歸到產品本身,代碼依然滿是安全漏洞、通訊協定沒有加密、晶片金鑰直接裸奔。這種「金玉其外,敗絮其中」的紙上合規,在面對CRA法規強制要求的漏洞掃描、滲透測試,或遭遇黑客實際攻擊時會瞬間現形,隨之而來的就是1500萬歐元的鉅額罰款與強制召回命令。

歐盟市場的法遵,每一步都不白走

歐盟是台灣第五大出口地區,在其數位歐洲計劃下,相關數位法規層出不窮,筆者這些年協助台商進行歐盟法遵的經驗觀察,台商與其用過去應付客戶要求,每一類要求拿一個ISO認證,公司治理與內控制度,又分別建立制度,不如在AI時代,試著從公司治理高度,進行內部制度的垂直整合,在因應這些法遵議題時,每一步都不白走。

例如在NIS2合規若有深度建立管理機制,在風險評估、資安通報就可以比較有概念,而在建立威脅建模、PSIRT時,即可有相當基礎將內部的既有機制與經驗,延伸至產品生命週期,進行更精準而細緻的機制建構。

但是這不代表通過ISO27001或ISO262驗證,即等同可以達成CRA合規,這是需多台商在面對CRA等法遵議題時,常見的迷思,認為從資安技術解或是ISO制度解即可達到合規目的。

筆者反而建議企業應從公司治理的高度,針對法遵事項,進行整體的架構,則更能有效因應美日歐盟等國家,未來的法遵需求,而無需個別因應,在因應外部風險時反而能夠得到更高錝效,更好的ROI與更低的TCO。

本文作者:積穗科研股份有限公司資深顧問李少華

淡江大學EMBA、115年度數發部歐盟CRA資安合規顧問、ISA IC34 cybersecurity Design and Implementation、TSMC ISO27001& ISO15408輔導顧問、多家上市櫃半導體供應鏈營業秘密保護及資安顧問

「以上言論不代表信傳媒立場」

back to top
navbar logo