Cyber Resilience Act (CRA) 網路韌性法案

隨著物聯網和數位產品的普及，從智能家居設備到辦公軟體，數位產品已無處不在。然而，由於安全漏洞和缺乏及時更新，這些產品容易成為網路攻擊的目標，對消費者和企業構成重大風險。《網路韌性法案》（Cyber Resilience Act, CRA）於2024年12月10日正式生效，並將自2027年12月11日起全面適用。

CRA 由歐盟提出，旨在解決數位產品和軟體在網路安全方面的不足，透過強制性規範，確保產品從設計到使用的全過程中具備更高的網路安全標準，同時提升市場的信任度與透明度。該法案適用於含有數位元件並能連接網路的產品與軟體，包括直接或間接與其他設備或網路連接的產品。然而，部分特定產品（如醫療設備、汽車及航空相關設備）不在 CRA 的適用範圍內。

CRA 的核心目標是提升數位產品的網路安全標準，適用對象包括硬體製造商、服務提供者和軟體開發者，規範產品的規劃、設計、開發和維護。例如：

•  製造商需基於安全設計原則，從設計與開發階段融入網路安全。

•  在產品生命周期內提供持續性安全更新，應對漏洞處理。

•  關鍵產品需通過授權機構的第三方評估以符合合規要求。

•  若違反法案，將面臨高額罰款。

目前，CRA 相關的調和標準仍在制定與討論中。該法案的管理與過程要求，以及產品技術規範，可以參考現有的網路安全標準，為未來 CRA 調和性標準的合規準備提供明確的框架與技術指引。

如需更詳細的資訊，請聯繫TÜV NORD Taiwan工業服務部進一步洽詢。