台灣 tw
Hotline
聯絡方式
台灣 | 中文(繁體)

網路韌性法案

網路韌性法案帶來一系列新要求。未來將適用哪些要求?

自 2027 年 12 月 11 日起,只有符合網路韌性法案(CRA)要求的產品才能在歐盟市場上市。CRA 包含具備數位元件之產品的網路資安要求

網路韌性法案涉及哪些新要求?哪些產品屬於 CRA 的範圍?公司需要做什麼? 我們已為您總結關鍵資訊。

兩位人員在工作場所中交談

關於網路韌性法案的關鍵問題(常見問題)

網路韌性法案是什麼?

網路韌性法案(CRA)是 歐盟規則,定義具備數位元件之產品的工業資安要求。受影響產品必須進行全面審查和修改。這絕對必要,因為只有符合 CRA 的產品才能自 2027 年 12 月起上市。

網路韌性法案何時生效?

CRA 於 2024 年 11 月 20 日在歐盟官方公報中發佈。其於 2024 年 12 月 10 日生效,並將自 2027 年 12 月 11 日起在歐盟強制實施。不過,根據 CRA,製造商通報被利用漏洞的義務將自 2026 年 9 月 11 日起適用。

CRA 的具體要求為何?

CRA 旨在為消費者和企業提供更好的保護,免受網路攻擊。CRA 包含針對具備數位元件、可與其他產品通訊之產品的製造商、進口業者及經銷商的一系列規範 。包括硬體和軟體產品。這涵蓋整個產品生命週期,即從產品的設計、開發、製造、交貨及維護,以及其在客戶現場的整個使用時間。

網路韌性法案是規則或指令?

網路韌性法案是歐盟規則,因此適用於歐盟所有成員國,而無需轉化為國家法律。

哪些產品屬於 CRA 的範圍?

CRA 涉及元件,具體而言為具備數位元件的產品,這些產品需要進行符合性檢查

網路韌性法案(CRA)適用於包含數位元件(如軟體或高風險 AI 系統),且連接到網路或其他設備的所有產品。因此,CRA 的範圍非常廣泛,包含以下產品類別:

  • 工業硬體與軟體,例如物聯網(IoT)設備、可程式邏輯控制器(PLC)及感測器
  • 軟體解決方案,例如桌面、網頁及行動式應用程式,以及作業系統
  • 私人使用的智慧型設備,以及硬體和軟體

這些產品根據潛在風險分類為不同類別。尤其是用於關鍵基礎設施、工業生產或能源與工業部門的系統屬於較高風險類別。對這些產品而言,由於其可對公共安全和經濟穩定產生顯著影響,符合性評估程序的要求更為嚴格。

我們可以做些什麼?對於公司的要求為何?

具備數位元件之產品的製造商必須遵守 CRA 的資安要求。這需要建立風險分析,並定義和實行降低任何風險的對策。此外,必須建立和維護風險評估(以及為降低資安風險所採取對策)的文件紀錄。這必須留存至少十年。此外,還必須持續監控潛在資安漏洞、在產品的整個典型使用壽命(至少五年)內免費提供資安更新,並在 24 小時內向 ENISA 和(如適用))國家機構通報所識別出的資安漏洞

即使已符合 CRA 標準且未經修改的產品,仍然必須根據透明規則進行測試和評估。檢查結果的文件紀錄必須保存十年。 軟體物料清單也必須建立,並需要證明開發和測試已根據工業資安標準執行。

歐盟符合性聲明相對於 CRA 是什麼意思?

製造商將會繼續發布歐盟符合性聲明,表明其已證明符合基本網路資安要求。 對製造商來說,這意指是否符合風險評估、漏洞管理及文件記錄的要求,將由符合性評估驗證。若所有要求皆符合,則將發布符合性聲明。 

對於所有歐盟立法,是否仍只需一份歐盟符合性聲明?

若具備數位元件的產品受到數項歐盟立法(每項均要求歐盟符合性聲明)約束,則將針對所有歐盟立法發布單一歐盟符合性聲明。此聲明應明確列出相關歐盟法案,以及其在官方公報中的引用。

歐盟符合性聲明必須保存多長時間?

製造商應為每個產品型號制定書面符合性聲明,並留存備查供國家主管機關使用,保存期限為產品上市後十年或支援期間,以較長期間為準。符合性聲明必須列明其所適用的產品型號符合性聲明的副本應於相關主管機關要求時提供。

網路韌性法案與 NIS 2 之間有何差異?

  • CRA 包含 對於具備數位元件之產品的設計、開發及製造的基本網路資安要求,以及經濟營運者在網路資安方面對於這些產品的義務。
  • NIS 2 指令針對公司,並要求其採取組織與技術措施降低公司內的工業資安風險。
  • 強化歐盟的網路資安:這兩套規則 – CRA 和 NIS 2 指令 – 彼此相輔相成,各自針對不同層級的網路資安:CRA 著重於產品資安,而 NIS 2 針對基礎設施和關鍵服務的資安。它們共同對歐盟內網路資安的整體改善做出重要貢獻。

Pilz 產品是否符合網路韌性法案的要求?

多年來,Pilz 一直根據標準 IEC 62443-4-1 建構其開發流程。作為「工業資安基本標準」,此標準定義產品的安全開發,即「資安開發生命週期流程」。在審核中,TÜV Süd 已確認我們的開發流程符合要求。Pilz 開發不僅安全,而且可靠

這對於我們的客戶很重要,因為除了新機械規則(規則 (EU) 2023/1230)以外,還有另一項與資安相關的規則-規則 (EU) 2024/2847(網路韌性法案,CRA)-將於 2027 年成為強制要求。

具體而言,這意指現有產品將在必要時修改,新產品將根據 CRA 進行開發,且符合性(CE 標章)將根據適用要求進行調整。不再符合要求的產品將會停產,或者繼續作為備品提供。不過,在後者情況下,其不得用於新設備安裝。

 

網路韌性法案的更多資訊

工業資安白皮書來自 Pilz

工業資安

有關工業資安主題的更多資訊,包含我們的免費白皮書,請參見以下頁面。

工業資安的更多資訊
戴著耳機的員工正在螢幕前面打電話。

請與我們聯絡!

您是否還有關於 CRA 的更多疑問?或者您是否需要關於如何在公司中實施的相關建議?我們經驗豐富的諮詢團隊將很樂意提供協助。

立即聯絡我們!
最上方
Contact

臺灣皮爾磁有限公司
105608
台北市松山區八德路三段36號10樓
台灣

電話號碼: +886 70 1015 0068 (當地網路電話)
電子郵件: info@pilz.tw

業務聯絡

105608
台北市松山區八德路三段36號10樓
台灣

電話號碼: +886 70 1015 0068 (當地網路電話)
電子郵件: info@pilz.tw

技術支援

電話號碼: +886 70 1015 0068 (當地網路電話)
電子郵件: info@pilz.tw

  1. Pilz
    2. /
  2. 支援
    3. /
  3. 法律和標準
    4. /
  4. 製造商和雇主/經營者
    5. /
  5. Cyber Resilience Act
開啟聯絡表單
電話號碼:+886 70 1015 0068 (當地網路電話)
“邮件: info@pilz.tw
Cookie settings

「您需要哪些協助?」

我理解,除非本人同意,否則任何收集的個人資料僅限用於處理訂單及處理本人提出之查詢事宜。關於資料保護的詳細資訊以及聯絡資訊,請參閱此處: Pilz 資料保護
同意可隨時撤銷(透過電子郵件即可)。
* 必填欄位