物聯網產品如何有效地從RED-DA過渡到CRA?
了解更多
網路韌性法案 (Cyber Resilience Act, CRA)
歐盟法規 (EU) 2024/2847,網路韌性法案 (Cyber Resilience Act, CRA) 是針對在歐盟市場上銷售具數位元素的產品所制定的全新網路安全規範。此法規象徵歐洲在強化數位安全與防護方面邁出關鍵性的一步。它要求製造商在產品設計階段必須落實安全設計(Security by Design)原則,主動進行漏洞管理,並於產品全生命週期內提供透明且持續的安全支援。
面對日益複雜的網路威脅,CRA為保護使用者、強化市場信任,並打造更具韌性的數位未來。
您的產品是否屬於 CRA 規範範圍?
CRA 不僅涵蓋產品本身,更涵蓋產品完整生命週期,包括規劃、設計、開發、生產、交付與維護,並強調網路安全風險評估與持續監控及改善。
1.了解網路安全要求 (Essential Cybersecurity Requriement)
- 風險評估與安全開發生命週期(Secure Development Lifecycle): 依據法規附件 I 第一部分 (Annex I, Part I) 第1項。
- 產品要求:依據法規附件 I 第一部分 (Annex I, Part I) 第2項。
- 漏洞處理:依據法規附件 I 第二部分 (Annex I, Part II)。
2. 產品分類與文件準備
- 產品分類:評估產品是否屬於特殊類別 - 重要類別 I (Important Class I)、重要類別 II (Important Class II),或關鍵類別 (Critical),這些定義於附件 III 與附件 IV。若不屬於上述類別,則歸屬為預設類別 (Default)。
- 文件與流程開發:製作必要的文件,並建立與風險評估、安全開發生命週期 (Secure Development Lifecycle) 以及漏洞處理相關的程序。
3. 完成符合性評估程序
依據產品分類,製造商須選擇適當的符合性評估程序:
依據產品分類,製造商須選擇適當的符合性評估程序:
- 自我評估 (Module A):適用於預設類別 (Default) 產品,或重要類別 I (Important Class I) 產品(若已使用協調標準 (Harmonized Standards)),製造商可自行進行評估。
- 符合性評估機構介入:適用於重要類別 II (Important Class II) 產品,或重要類別 I 產品(若未使用協調標準),需由歐盟認可的公告機構 (Notified Body) 介入評估。
- 取得歐盟網路安全證書:在可行的情況下,關鍵產品必須優先取得歐洲網路安全驗證方案 (European Cybersecurity Certification Scheme)的證書(例如 EUCC, EUCS, EU5G)。
DEKRA 德凱可依規範協助您完成以下流程,讓合規路徑更清晰、文件準備更到位:
- 教育訓練:提供客製化訓練與解決方案,協助企業建立CRA 法規要求準備策略。
- 評估服務:基於法規要求、協調標準及產業標準提供的評估服務。
- 第三方評估與驗證:DEKRA德凱將成為 CRA 的公告機構(Notified Body),協助製造商取得相關證書。我們將運用在 RED-DA擔任公告機構,以及在 EUCC 驗證機構的豐富經驗,為客戶提供專業服務。符合性評估機構(Conformity Assessment Body)的公告程序將自 2026 年 6 月開始。
- EUCC 證書:DEKRA德凱是獲得認可的EUCC評估實驗室(ITSEF)與驗證機構(CB)。您在取得 EUCC 證書的同時,也能符合 CRA 的相關要求。
【符合性評估程序必須在 2027 年 12 月前完成,以確保產品投放歐盟市場時完全符合 CRA 要求。請注意,漏洞通報義務將於 2026 年 9 月起開始適用】
我們提供業界最完整的服務組合,涵蓋 Common Criteria、FIPS 140-3、ETSI EN 303 645、IEC 62443、SESIP、EN 18031 等多項標準與證書資格。
目前已協助多家製造商符合歐盟 RED-DA 網路安全相關要求。現在我們已準備好以相同精準度與可靠性,協助您順利完成 CRA 合規。
選擇我們,讓您確保產品安全、強化市場信任,並在歐盟法規趨勢中保持競爭優勢。