CRA 第一階段通報合規指引

2026年6月11日Cyber Security

執行團隊完整準備清單:從現在到 2026/09/11

本文是給內部執行團隊的操作指引。它將 CRA Art. 14的通報義務轉化為具體的準備項目、可交付物及時間表。通報義務不分產品類別,即使您的產品屬於 Default 類別,可以選擇自我宣告路徑聲明滿足CRA要求,以下每一項仍然適用於你的產品。

一、背景:9 月 11 日產生什麼強制義務

CRA 採用分階段生效。完整合規(CE 標誌、技術文件、符合性評估)截止日是 2027/12/11。但以下三項從 2026/09/11 起強制執行:
  • Art. 14 製造商通報義務:產品中遭主動利用的漏洞與重大資安事件,必須透過 ENISA SRP 平台通報
  • Art. 16 單一漏洞通報平台(Single Reporting Platform, SRP)運作:ENISA 建立單一通報窗口,製造商提交一份通報,平台自動分發至指定的CSIRT 與 ENISA
  • Art. 64 罰則即時適用:最高 €1,500 萬或全球年營收 2.5%,取較高者
提醒:通報義務具有溯及效力。現在已在歐盟市場銷售的產品,從 2026/9/11 起均受約束。不僅限於 2027 年後上市的新品。
關於「Default 類別 = 不用準備」的認知落差:約 90% 的產品屬於 Default 類別,只需自我宣告。但自我宣告仍然要求製造商完整執行 CRA 所有安全要求,且 Art. 14 通報義務不分類別全部適用。自我宣告的意思是「由您自己負責證明合規」,不是「不用合規」。市場監督機關可隨時要求提供證明文件。瞭解這一點,有助於團隊正確設定準備範圍。

二、三階段通報時限:完整拆解

觸發條件:「可靠證據顯示惡意行為者在未授權情況下利用漏洞」,這包括CVE公告、威脅情報服務、客戶回報及內部監控任何一個漏洞情報來源。建立漏洞情報監控機制,是確保您能及時「知悉」並啟動通報流程的基礎。
三、您的公司屬於哪種義務定位
定位通報義務實務影響
自有品牌製造商直接承擔 Art. 14 全部通報義務。無論總部是否在歐盟。非歐盟總部需指定授權代理人。需建立完整通報機制、註冊 SRP 帳號、確保 24h 通報能力
OEM/ODM 代工無直接通報義務,但歐盟品牌客戶為履行其義務,必定要求您提供 SBOM、漏洞紀錄、安全測試報告及漏洞情報數據流。需建立 SBOM 產出能力、漏洞監控機制、可回應客戶要求的標準化文件包
對 OEM/ODM 的特別說明:您的歐洲客戶正在同步準備其 CRA 合規。他們向您要求 SBOM 和漏洞報告的時間,可能比您預期的更早。提前建立這些能力,不僅能滿足客戶需求,也能在供應商評選中展現更高的合作成熟度。

四、完整準備清單:三個層次、十二個項目

以下清單依急迫程度排序。每個項目包含具體可交付物與建議負責單位。每個項目都是通報流程完整運作的環節,建議依序逐一落實。

Layer 1:流程與政策文件(最緊迫——建議立即啟動)

這是整個通報機制的骨架。有了這些文件,技術能力才能在組織內部順暢運作。
準備項目可交付物負責急迫度
漏洞通報 SOP從情報接收→分流判斷→通報決策→提交的完整流程文件產品資安P0
PSIRT 運作規範人員分工表、輪值機制、升級路徑、決策授權流程工程 + QAP0
CVD 政策對外公告的漏洞接收管道(含 security.txt)產品資安P0
通報授權人名單明確誰有權決定「是否通報」與「向誰通報」,含聯絡方式高層指定P0

Layer 2:技術準備(建議 Q2 2026 完成)

這些是讓流程得以運作的底層能力。有了 SBOM,您才能判斷「是否有漏洞遭利用」,通報義務才能有效履行。
準備項目可交付物負責急迫度
主力產品 SBOM至少一層依賴關係,SPDX 或 CycloneDX 格式RD / QAP0
漏洞監控機制SBOM 與 NVD/OSV 比對、元件層級漏洞情報流RD / 資安P1
預製通報範本24h/72h/14d 三階段標準化範本PSIRTP1
產品上架國家清單產品在歐盟各成員國的銷售分佈資料業務 / 合規P1

Layer 3:組織準備(2026/09/11 前完成)

通報機制的有效性最終取決於組織執行力。一次全流程演練能有效驗證準備是否到位,並及時調整流程缺口。
準備項目可交付物負責急迫度
24/7 輪值應變制度跨夜/週末/連假輪值表與通報流程啟動機制PSIRTP1
SRP 帳號註冊ENISA SRP 帳號註冊確認、平台介面熟悉合規 / ITP1
桌上演練至少一次全流程模擬通報,檢驗 24h 實際所需時間PSIRT / 全員P1
授權代理人安排歐盟授權代理人合約(非歐盟總部廠商適用)法務 / 業務P2

五、現有認證的覆蓋與補強方向

您可能已有 ISO 27001 或 IEC 62443 認證。以下對照表協助您瞭解現有基礎可以覆蓋哪些要求,以及需要補強的方向:
CRA Art. 14 要求ISO 27001 覆蓋?IEC 62443 覆蓋?
產品 SBOM 管理✘ 未覆蓋△ 部分(IEC 62443-4-1 涵蓋Defect Management,但未要求機器可讀 SBOM)
PSIRT 運作✘ 未覆蓋(ISMS 事件管理 ≠ 產品漏洞應變)△ 部分(IEC 62443-4-1 有漏洞處理要求,但無 SRP 通報流程)
元件層級漏洞監控✘ 未覆蓋✘ 未覆蓋
對 ENISA 的通報格式與流程✘ 未覆蓋✘ 未覆蓋
CVD 對外公告義務✘ 未覆蓋△ 部分(有漏洞揭露要求,但無 CRA 特定格式)
24h/72h/14d 時限通報✘ 未覆蓋(ISO 27001 無對外通報時限要求)✘ 未覆蓋
結論:兩者都是良好的基礎,可以加速 CRA 合規準備。但都無法直接滿足 CRA Art. 14 通報義務的全部要求。在現有認證架構上補齊缺口,是最經濟且風險最低的做法。

六、風險管理視角:確保自我宣告路徑的風險被妥善管理

自我宣告的本質是:製造商自行承擔合規證明的全部責任。這意味著您需要更主動地管理風險。以下是執行團隊應關注的五個風險面向及對應的管理措施:
 風險面向潛在影響建議管理措施
1通報時限壓力未能在時限內完成通報,觸發合規處分建立 PSIRT + SOP + 定期演練
2影響範圍判斷能力不足通報內容不完整,影響後續處理效率建立 SBOM + 漏洞監控機制
3客戶文件要求回應能力無法及時回應歐洲客戶的合規文件需求準備標準化供應商文件包
4自我宣告文件完備度市場監督機關要求提供證明文件時無法提供維護完整技術文件與合規紀錄
5漏洞情報監控盲區漏洞已被利用但未及時發現,錯過通報時機建立漏洞情報監控與比對機制
七、行動時間表:從現在到 9/11
時間行動項目可交付物注意事項
立即建立通報 SOP、PSIRT 框架、CVD 政策流程文件、人員分工表 需要高層授權 PSIRT 人員配置
4–5 月主力產品 SBOM 建置 + 漏洞監控機制SBOM、CVE 比對報告可能需要 SCA 工具採購決策
6–7 月預製通報範本 + 桌上演練24h/72h/14d 範本、演練報告演練後調整流程缺口
8 月SRP 帳號註冊 + 授權代理人安排註冊確認、代理人合約平台開放時程依 ENISA 公告
9月11日 生效通報機制全面上線所有準備完成通報義務正式生效
八、DEKRA Onward Security 服務對照
您的準備項目DEKRA 可提供的服務服務效果
通報 SOP + PSIRT漏洞通報機制現況評估(Gap Analysis)+ PSIRT 輕量化導入全面瞭解現狀與缺口,以跨部門框架建立應變能力
SBOM 建置SBOM 建置服務(SCA 掃描 + 格式轉換)產出 CycloneDX/SPDX 格式 SBOM,可直接回應客戶要求
漏洞監控機制漏洞情報監控服務(訂閱制)元件層級 CVE 比對與警示
通報範本 + 演練通報演練服務(情境模擬 + 全流程演練)驗證 24h 通報流程是否可行,識別並改善流程缺口
CRA 完整合規路徑規劃CRA Annex I 合規差距分析為 2027/12 完整合規提前規劃路徑與投資優先序
歡迎聯繫 DEKRA Onward Security 安排一對一評估,協助您瞭解目前的合規準備現況與可優化的方向。
分享頁面 :