9 月 11 日,你的歐洲訂單準備好了嗎?
2026年6月04日Cyber SecurityCRA 第一階段通報義務生效:台灣 OEM/ODM 高層決策者必讀
30 秒重點 2026 年 9 月 11 日,CRA 第一個強制義務生效:製造商必須在 24 小時內向歐盟通報產品漏洞。您的產品可能屬於「Default」類別,可以透過自我宣告方式證明產品滿足 CRA 法規的要求。但「自我宣告」不等於「不用準備」,通報義務適用於所有產品類別,且已經在歐盟境內銷售的產品同樣屬於通報範圍。提前建立通報能力,不僅能有效管理合規風險(最高 €1,500 萬罰款),更能鞏固與歐洲客戶的供應鏈信任關係。
一、「Default 類別、自我宣告」的常見認知落差
約 90% 的含數位元素產品被歐盟委員會歸類為「Default」類別,可以不需要第三方機構評估,只需製造商自我宣告合規。這讓許多台灣廠商高層得出一個結論:「我們不用急」。
這個理解有待釐清。以下三點值得留意:
1. 通報義務不分類別。CRA Art. 14 的漏洞通報義務適用於所有「含數位元素產品」的製造商,不論產品是 Default、Important 還是 Critical。走自我宣告路徑可以省去第三方評估費用,但通報義務一個都不能少。
2. 自我宣告不是「自我認定」。自我宣告仍然要求製造商的流程與其產品滿足 CRA Annex I 的安全要求,建立技術文件,並對合規性承擔全部法律責任。市場監督機關可以隨時要求製造商提供證明文件。換言之,自我宣告意味著「由您自己負責證明合規」,而非「不需要合規」。
3. 歐洲客戶正在同步準備其自身合規。歐洲品牌客戶為了履行其 CRA 義務,已開始在 RFQ 和供應商審查中要求台灣代工廠提供:
- 安全開發流程證明、
- 軟體物料清單 (Software Bill of Material, SBOM)、
- 漏洞管理政策、
- 產品安全中心 (Product Security Incident Response Team, PSIRT) 聯絡窗口及安全測試報告。
能及時提供這些資料的供應商,將更容易獲得優先合作機會。
二、九月需要具備的三項核心能力
CRA 的生效採用分階段模式。完整合規(含 CE 標誌、技術文件及符合性評估)將於2027年12月11日生效,但通報義務在2026年9月11日就生效:
| 義務 | 意涵 | 合規風險 |
| 漏洞利用通報 | 知悉(aware)漏洞遭利用後,必須在規定時限內透過 ENISA單一漏洞通報平台(Single Reporting Platform, SRP)通報 | 最高 €1,500 萬罰款+產品下架令 |
| 重大事件通報 | 負責影響產品安全的重大資安事件,同樣須向 ENISA 通報 | |
| 罰則即時適用 | Art. 64 罰則從 9/11 起可執行,不需等到 2027 年完整合規截止 | |
| 提醒:通報義務具有溯及效力。不僅是 2027 年後上市的新產品——您今天在歐盟市場銷售的現有產品,從2026年9月11日起均受約束。及早準備,可確保現有產品線的持續合規。 | ||
三、風險與機會:從供應鏈角度理解 CRA
CRA 對台灣 OEM/ODM 的影響,需要從供應鏈關係的角度來理解。
情境一:您的歐洲品牌客戶是 CRA 的「製造商」。他們的合規義務要求他們能在 24 小時內通報產品漏洞。但產品的 SBOM、漏洞情報及元件清單都在您手上。當您具備提供這些資料的能力,您就成為客戶合規鏈中不可或缺的夥伴。這是鞏固供應鏈地位的契機。
情境二:您以自有品牌在歐盟銷售。您直接承擔 Art. 14 全部通報義務。建立完善的通報機制,不僅確保合規,也是向歐洲市場展示品牌成熟度與可信賴度的重要方式。
參考數字:CRA 罰款上限為全球年營收 2.5%(年營收 100 億台幣的廠商約 2.5 億台幣)或1500萬歐元取其高。但更重要的是,提前準備能有效避免供應鏈中斷風險,並為歐洲業務的長期成長奠定基礎。
四、提前準備的廠商正在建立競爭優勢
CRA 不僅是合規要求,也是重新定義供應鏈競爭力的機會。已有台灣廠商將合規準備轉化為業務成長動能:
競標優勢:在歐洲電信商的 RFQ 中,能主動提供 CRA 合規文件的台灣廠商,展現了更高的供應鏈成熟度,獲得客戶青睞。合規準備的投入,往往在第一張新訂單就能回收。
長約鎖定:主動建立 CRA 合規能力的 OEM/ODM,正在與歐洲客戶簽訂「CRA 優先供應商」長期框架協議。先行者的優勢在於:從被動回應客戶要求,轉變為主動展示合規能力。
複用效益:為 9 月通報義務建立的 PSIRT、SBOM及漏洞監控能力,同時是 2027 年完整合規的基礎。現在投入不是額外成本,是提前開始打基礎。
五、高層現在需要做的三個決定
合規的技術細節可以交給內部團隊或外部顧問。但以下三個決定需要高層支持與資源配置:
| 決定項目 | 為什麼需要高層支持 | 建議時間 |
| 指定 PSIRT 負責人與資源配置 | 涉及跨部門人力調配、授權與預算 | 建議立即啟動 |
| 核定 SBOM 建置與漏洞監控預算 | 需要工具採購與流程變更的投資決策 | Q2 2026 |
| 決定歐盟授權代理人架構 | 涉及法律架構、合約簽署與跨時區運作 | 2026/09/11 前 |
六、高層最常問的三個問題
「我們已有 ISO 27001,這樣不夠嗎?」
ISO 27001 管的是組織內部資訊安全,是很好的基礎。CRA Art. 14 要求的是對外的產品漏洞通報能力:SBOM、PSIRT及通報流程。兩者是不同維度的合規體系,可以互補但不能互相替代。在現有 ISO 27001 架構上補齊產品資安層次,是最經濟的做法。
「我們只是代工,CRA 跟我們無關。」
CRA 的直接義務人是歐盟品牌客戶。但他們履行通報義務的核心依據——SBOM、漏洞紀錄及安全測試報告——全部在您手上。具備提供這些資料的能力,是維護與強化供應鏈合作關係的關鍵。
「準備這些要花多少錢?」
取決於產品數量、現有基礎與組織成熟度。但有一個參考框架:深入的合規準備通常在 3–6 個月內可完成,投資規模遠低於供應鏈關係中斷的潛在影響。先行者的經驗顯示:合規投入在第一張新訂單就能回收。
七、下一步
合規準備的第一步是瞭解現況:您的產品在哪個位置、還需要建立哪些能力、優先順序怎麼排。
DEKRA Onward Security 可以協助的具體服務
- 漏洞通報機制現況評估(Gap Analysis):以 CRA Art. 14 為基準,全面瞭解您目前的通報機制完備程度與可強化方向
- PSIRT 輕量化導入:以跨部門運作框架建立漏洞應變能力,不需額外招聘資安人員
- SBOM 建置服務:對主力產品執行軟體成分分析,產出符合 CRA 要求的機器可讀(machine-readable)格式 SBOM
- 通報演練與範本製作:模擬真實通報情境,驗證 24 小時流程是否可行,同時建立標準化範本
- CRA Annex I 合規差距分析:為 2027 年完整合規提前規劃路徑,讓每一步投入都有明確方向
歡迎聯繫 DEKRA Onward Security 安排一對一評估,協助您瞭解目前的合規準備現況與可優化的方向。