• 發布單位:TWCERT/CC
• 更新日期:2026-05-29
• 點閱次數:223

《網路韌性法案》（Cyber Resilience Act, CRA）執行時程已正式進入倒數階段，最具衝擊力的第 14 條「漏洞通報義務」將於2026年9月11日 正式強制執行。屆時，所有進入歐盟市場的具備數位功能產品，若得知存在「活躍漏洞利用（Actively Exploited Vulnerability）」，製造商必須在24小時內發布早期預警。這項嚴格的法規不僅是歐盟境內的法律義務，更對全球電子製造供應鏈帶來巨大的連鎖反應，迫使廠商必須全面升級產品開發與漏洞應變機制。

根據法案最終公告條款，製造商在獲悉漏洞後將面臨極具挑戰性的時間壓力，企業必須在發現漏洞的24小時內，透過歐盟「單一通報平台 (SRP)」向當地電腦安全事件應變團隊 (CSIRT) 及歐盟網路安全局 (ENISA) 發出早期預警，並於72 小時內補齊詳細的漏洞災損評估。此外，在具備可用的矯正或緩解措施後 14 天內，製造商還需提交最終報告，若屬於重大資安事件則放寬至一個月內提交。一旦未能履行這項通報義務或產品不符資安規範，違規廠商最高將面臨1,500萬歐元或全球年營收2.5%的高額罰鍰，相關產品也可能遭受下架、召回或限制銷售等嚴厲處分。

這項涵蓋所有已在市場流通數位產品的生命週期追溯機制，正促使軟體材料清單（SBOM）成為實務上不可或缺的隱性先決條件。由於法規限定的通報時效極短，製造商若缺乏清晰的產品組件清單，將難以在 24 小時內精準判定哪些既有產品或韌體版本正受到該特定漏洞的威脅。因此，建立標準化、動態化的 SBOM 管理架構，已不再只是單純的技術選項，而是全球設備大廠全面推進市場主動合規的關鍵核心。

在技術落實層面上，這場變革正引領全球科技業從「被動防禦」走向「內建安全」的深層轉型。廠商除了必須導入CycloneDX 或 SPDX 等國際標準格式的 SBOM 管理工具，並結合自動化漏洞掃描器執行全天監控外，也必須嚴格遵循法規中對預設安全配置的強制要求。這意味著設備開發者在產品出廠前，就應落實 Security by Design 原則，包含關閉不必要通訊埠、取消任何預設弱密碼等防禦方法，避免產品上市後成為攻擊者可利用的弱點。

面對即將到來的法規浪潮，製造商與供應鏈企業應立即採取以下前瞻性的韌性強化措施：

1. 立即清查產品線並導入SBOM：首要任務是立即清查所有外銷歐盟的產品清單，並優先針對核心產品產製完整的 SBOM，確保能隨時掌握第三方套件與開源軟體元件狀況。
2. 建立漏洞應處機制與內部演練：針對法規要求的「24小時與72小時」極短時限，企業須明確制定內部應變與通報流程，透過跨部門的實戰演練，確保產品、資安與法務團隊能在時限內完成通報判定。
3. 成立 PSIRT團隊並接軌國際聯防：建議企業內部應積極建置「產品資安事件應變團隊 (PSIRT)」，並與國際漏洞資料庫進行即時對接，建立標準化的應變能量。
4. 推動深層技術升級與法規追蹤：企業技術升級並以Security by Design 為原則，在產品設計開發初期即考量其安全性，同時密切關注歐盟委員會對於「符合性評估」的具體細則演進，以隨時動態調整合規策略。