【EU CRA】歐盟 CRA 網路韌性法案通報機制將於 2026 年 9 月 11 日上路
隨著《歐盟網路韌性法案》(Cyber Resilience Act, CRA)的推動,歐盟委員會近日進一步明確了受管制產品(含數位元素產品)的強制性漏洞通報規則。自 2026 年 9 月 11 日起,所有在歐盟市場銷售的數位產品製造商,將面臨極其嚴格的網路安全漏洞與事故通報義務。
一、 嚴苛的「24小時」通報時效
CRA 要求製造商在發現「已被積極利用的漏洞(Actively Exploited Vulnerabilities)」或「嚴重安全事故」時,必須履行階梯式通報義務:
- 24小時內: 提交「早期預警(Early Warning)」。
- 72小時內: 提交「完整通知(Full Notification)」。
- 最終報告: 對於漏洞,須在採取修正措施後 14 天內提交;對於事故,則須在 1 個月內提交報告。
二、 單一通報平台(SRP)正式定案
為簡化流程,歐盟網路暨資訊安全局(ENISA)正在開發**「CRA 單一通報平台(Single Reporting Platform, SRP)」**。
- 製造商只需透過該平台通報一次,資訊將自動分發至該企業主要據點國家的電腦安全事件應變小組(CSIRT)及 ENISA。
- 該平台預計於 2026 年 9 月 11 日前正式啟用,在此之前將進行測試。這代表企業必須在未來 18 個月內,將其內部的漏洞監測與通報系統與此外部平台完成對接。
三、 對認證體系與製造商的影響
身為認證服務供應商,我們觀察到 CRA 不僅是「事後通報」,更強調「事前合規」:
- 漏洞監控能力: 企業若無法證明其具備 24 小時內的偵測與反應能力,將難以通過產品的安全性符合性評估(Conformity Assessment)。
- 供應鏈透明度: 製造商必須對其產品中所使用的軟體元件(SBOM)有完整掌握,才能在漏洞發生時迅速判斷是否屬於通報範圍。
- 區域分發限制: 在特殊情況下,若擴散資訊可能威脅網路安全,CSIRT 有權延遲向其他成員國分發通報資訊(依據 2025 年 12 月通過的授權法案)。
如有任何問題,歡迎聯繫我們
電郵:Charles.liao@theonelab.co
電話:(02)8601-2828
