歐盟CRA風暴來襲：台灣製造業的滅絕級挑戰還是轉型契機？

CRA可以預期是一場對台灣製造業的「大洗牌」，對於習慣削價競爭、忽視開發流程品質的廠商來說，這確實是滅絕級的挑戰。ISA台灣分會

如果你以為歐盟《網路韌性法案》（Cyber Resilience Act，又稱CRA）只是一紙遙遠國度的行政命令，或者認為那是2027年以後才需要擔心的事，那麼本篇文章可能是你公司未來的「轉型之鑰」。

對於以出口導向為主的台灣電子製造業而言，CRA宣告了「硬體功能至上」時代的終結，「產品資安要求」預計將正式成為與安規、EMC、RF同等重要的市場准入條款。違者將面臨最高1,500萬歐元（約5億台幣）或全球年營收2.5%的天價行政裁罰。這不僅是法規遵循的問題，更是一場關於企業品牌的生存淘汰賽。今天這篇文章先不深入探究CRA法規本身，而是先從幾個產業界常見問題開啟後續系列文章的討論。

在深入解答各位老闆與RD主管的焦慮之前，讓我們先說說CRA法規的三大誤區：

誤區一：我們家的產品沒有Wi-Fi功能，不用被CRA監管吧？這是最大的誤區。CRA監管的是具備「數位元素的產品（Products with Digital Elements)」，又稱PDE或PwDE。只要在歐盟市場販售的產品具有直接或間接的邏輯或實體資料連接，就會落在監管範圍內。只要你的設備或模組能透過任何方式（有線網路、藍牙、甚至USB）交換資料或進行Firmware/Software更新，就會在CRA法規的管轄之列。

誤區二：24小時內通報！？這只是歐盟的口號吧？
CRA 規定，一旦發現產品存在「已被積極利用」的漏洞或發生嚴重事故，製造商就必須在 24 小時內向歐盟 ENISA 及各國 CSIRT 發出「早期預警」。這樣的反應速度，挑戰的是企業內部的橫向溝通效率！CRA 雖未強制要求成立特定部門，但要求企業必須具備漏洞處置與即時通報的功能。如果組織內沒有預先建立好標準作業程序（SOP）與專責窗口，單靠臨時的人工確認，在跨國時差與語言壓力下，要在 24 小時內完成法定通報，無疑是拿企業信譽與法律風險開玩笑！

誤區三：Legacy產品可以眼不見為淨？
別以為庫存清完就沒事。雖然 CRA 全面強制執行是在 2027 年 12 月 11 日，但其中的「主動漏洞通報義務」將於 2026 年 9 月 11 日提前生效。 這意味著，即使 legacy 產品是在2027年12月10日前賣出的，只要2026年9月後，該產品仍在生命週期內且發生了漏洞或資安事件，身為製造商的你就必須遵守通報義務，並免費提供緩解方案給用戶。各位老闆若現在還抱著「眼不見為淨」的心態，屆時將措手不及。

面對CRA合規生存指南：解答製造業最頭痛的三個大哉問

面對來自歐盟市場的這場風暴，相信台灣的OEM/ODM、品牌商、RD、PM與認證團隊一定充滿了疑問。以下針對業界最關心的三個常見問題，提供第三方的觀察：

FAQ01：「我只是 OEM/ODM 製造商，CRA實施後出貨到歐盟，怎麼做才不會被罰錢？是不是把合規責任推給品牌方就好了？」

死道友也會死貧道。 法律責任確實在品牌方，但在CRA的技術文件（Technical Documentation）要求下，品牌方將更有壓力要求身為代工廠的你提供符合標準的軟體物料清單（SBOM）、風險評估報告或安全開發流程證明，若您無法提供，品牌商為了自保，唯一的選擇就是「換掉供應商」。

換句話說，產品資安合規能力，將是代工廠未來的接單入場券。ISA台灣分會的專家們會建議您儘快在內部進行以下三點：盤點資產：無論產品型號新舊，先確認哪些產品會賣到2027年後。生成SBOM：搞清楚貴公司的產品裡用了哪些開源軟體元件。建立通報機制：確保2026年9月前，貴公司有人員與窗口能處理漏洞通報。

FAQ02：「我們公司已經有ISO 27001和IEC 62443-4-1認證，這樣在CRA合規的部分是不是就可以安全下莊了呢？」

這裡必須釐清一個關鍵差異：ISO 27001 是針對『組織資產管理（ISMS）』，而 CRA 則是針對『產品安全（Product Security）』。 雖然 ISO 27001 代表貴公司有資安治理的基礎，但它無法涵蓋產品本身的技術安全性。

相較之下，ISA/IEC 62443-4-1（安全開發生命週期） 才是真正對接CRA要求的核心。擁有此認證代表貴公司在產品設計階段就已納入資安考量（Secure by Design）。

因此，已經有 4-1 認證的團隊，接下來的重點在於銜接CRA特有的市場准入行政要求（如：歐盟符合性宣告DoC、漏洞協調揭露流程）。而僅有ISO 27001的公司，則需儘速補強產品研發端的技術標準，建議從 ISA/IEC 62443系列標準入手，才能真正填補從『組織資安』到『產品資安』的鴻溝。」

還未開始規劃的研發團隊主管們，你們還在等後面的EN 40000-1-x調和標準嗎？不要等，現在就啟動 ISA/IEC 62443-4-1 SDLC的導入以優化現有流程。目前prEN 40000-1-x系列標準是ETSI、CEN/CENELEC 等組織正在制定的CRA調和標準（Harmonized Standards），仍在草案階段。

然而，若等到2026年才開始改善SDLC流程，絕對來不及趕上CRA訂於2027年的實施日期。若有興趣進一步深入了解，也可參考歐盟執委會CRA專家小組的核心成員之一 : Dr. Lukasz Kister 在2025年9月份透過ISA台灣分會與台灣電子製造業界朋友們提出的幾個關鍵挑戰與應對策略。

FAQ03：「聽說CRA會將產品依風險等級分類，我的產品會屬於哪一類？對應的合規義務會不同嗎？」
CRA 將產品依風險等級分為四大類，潛在風險由輕至重分別為：預設產品（Default）：市面上約90%產品（如智慧檯燈、普通家電）會在這個類別。可採「自我宣告」，合規成本最低。

重要產品一類（Important Product Class I）： 如操作系統、防火牆、工業控制系統、微處理器。重要產品二類（Important Product Class 2）： 這類產品通常需要「第三方驗證機構（Notified Body）」介入。關鍵產品（Critical Product）：如智慧卡讀卡機、智慧電表產品等，合規成本最高。

橫跨這四大不同類別產品，將會有一系列的調和標準（Harmonized Standards）做為合規中心思想，類似所有產品場應該要做到的最低門檻。例如：產品的風險評估報告、持續的軟體安全更新機制必須提供至少 5年（或產品預期壽命）的安全支援期等。隨後歐盟執委會將再公告不同類型產品建議參考的垂直標準（Vertical Standards），這些不同的垂直標準將對應至不同風險的PwDEs，讓製造商尚未導入合適標準的廠商，可參考這些標準做為的合規依據。

整體CRA要求中，除了上述的三項要點之外，還有機器可讀取的SBOM（軟體物料清單）、2026年9月11號要落實的漏洞通報機制、供應鏈的風險控管、歐盟市場B2B商務合作等在落地時會遇到的痛點，讓我們在後續的文章中再繼續詳述。

結語：將「合規」轉化為「訂單」

CRA可以預期是一場對台灣製造業的「大洗牌」，對於習慣削價競爭、忽視開發流程品質的廠商來說，這確實是滅絕級的挑戰；但對於願意轉變mindset，重視產品全生命週期資安需求的企業而言，CRA築起的這道高牆，將成為你阻擋低價競爭對手的最佳護城河。

競爭優勢不是等出來的。建議各位企業主現在就啟動CRA合規專案小組，評估現有產品線的風險等級，並著手將資安標準納入研發流程。若您對如何將國際標準（如 ISA/IEC 62443）銜接至CRA感到迷惘，歡迎聯繫ISA台灣分會的專家團隊，我們將提供實務經驗協助您在風暴中站穩腳步。（本文由ISA台灣分會提供，DIGITIMES整理）