CRA

【歐盟資安】歐盟《網路韌性法案》(CRA)第14條將於 2026 年提前生效

/在: ,

漏洞與資安事件通報義務倒數,製造商準備好了嗎?

隨著歐盟《網路韌性法案》(Cyber Resilience Act, CRA)逐步邁向全面施行,數位產品製造商需要特別注意一項比整體法規更早生效的重要義務

根據 CRA 第14條(Article 14)漏洞與資安事件的強制通報義務將於 2026 年 9 月 11 日 正式生效,早於 CRA 於 2027 年全面適用的時程。

這代表,自 2026 年起,凡是將「具數位元素產品(Products with Digital Elements)」投放歐盟市場的製造商,一旦發現已被利用的漏洞重大資安事件,即須依法在極短時間內完成評估、通報與後續說明,否則將面臨合規風險與潛在處罰。

CRA 第14條的核心要求

當製造商「知悉」以下情況之一時,CRA 第14條即啟動分階段通報義務:

  • 已遭實際利用(actively exploited)的安全漏洞
  • 嚴重的資安事件(severe cybersecurity incident)

法規要求的通報時程包括:

  • 24 小時內:提交「初步預警通報(Early Warning Notification)」
  • 72 小時內:提交正式的漏洞或事件通報
  • 14 或 30 天內(依事件性質):提交最終完整報告,內容須包含:
    • 事件影響分析
    • 已採取與計畫中的緩解措施
    • 風險控制與後續行動

值得注意的是,即使產品已完成認證或已上市多年,通報義務仍然適用,且並非選擇性要求

製造商現在就該開始準備的關鍵事項

雖然通報義務於 2026 年才正式生效,但從實務角度來看,現在就必須開始準備。製造商應優先建立以下能力:

  • 漏洞監測與接收(Vulnerability Intake)機制
  • 明確定義「需通報漏洞」的內部判斷標準
  • 資安事件回應與升級(Escalation)流程
  • 符合法規期待的通報文件與範本
  • 明確指定負責與歐盟主管機關溝通的角色與窗口

若缺乏上述制度與流程,在真實資安事件發生時,要在 24 或 72 小時內完成合規通報,幾乎是不可能的任務

我們如何協助 CRA 第14條合規準備

為協助製造商從「知道法規」走向「真正可執行」,我們提供 CRA 第14條的整備與實務支援服務,包括:

  • 漏洞通報流程與治理架構設計
  • 資安事件回應與升級流程顧問服務
  • 符合 CRA 要求的通報文件與範本
  • 持續性法規諮詢與通報支援服務

我們的目標,是協助製造商在符合法規要求的同時,降低合規風險,並讓研發與工程團隊能持續專注於產品本身

CRA 的倒數計時已經開始。
提早準備的製造商,將能避免 2026 年通報義務上路時的倉促應對與合規風險。

如需了解 CRA 第14條整備與支援服務,歡迎聯繫:
📧 Charles.liao@theonelab.co