歐盟《資安韌性法案》EU CRA (EU Cyber Resilience Act) 是一個法律框架,它描述了歐盟市場上投放的具有數位元素的硬體和軟體產品的網路安全要求。CRA將於2027年12月11日起強制執行,其中製造商對事件和漏洞的報告義務相關的要求將於2026年9月起強制執行。預計從CRA強制實施日起,當前RED指令中的網路安全條款將退出。
作為獨立管控網路資訊安全的CE標識法規,CRA管控的產品更加廣泛,所有包含數位元素的產品,如果其預期的用途或可合理預見的使用方式有包括與設備或網路建立直接或間接的邏輯或物理資料連接,不管是硬體還是軟體,單獨出售或是嵌入式產品,都在CRA的管控範圍。
具體而言,帶有數位元素的產品,如以下例舉的終端設備、軟體、元件等:
終端設備
- 筆記型電腦
- 智慧手機
- 感測器和相機
- 智慧型機器人
- 智慧卡
- 智慧電表
- 移動設備
- 智慧揚聲器
- 路由器
- 交換器
- 工業控制系统
軟件
- 固件
- 操作系統
- 移動應用程序
- 桌面應用程序
- 視頻游戲
元件(硬件和軟件)
- 電腦處理單元
- 視訊卡
- 軟體庫
不屬CRA範圍的產品:
醫療、體外診斷、交通、航空、海事等各有其獨立法規的設備及免費與開源軟體、雲端服務軟體等不在CRA管控範圍。
CRA 是一項CE標識法規,凡是CRA涵蓋的產品,從強制執行之日起,進入歐盟市場之前,製造商應確保產品在符合原先適用的如低電壓,電磁相容、無線等指令的同時也滿足CRA的要求才能在產品上使用CE標識以合規進入歐盟市場。
歐盟《資安韌性法案》EU CRA即將生效,它將為數位產品帶來一系列變革性的網路安全要求,旨在加強互聯設備和軟體整個生命週期的保護,並制定了新的監管標準,您的企業必須做好準備以符合這些標準。
如需了解更詳細資訊,歡迎聯繫我們。