Back to Insights
CRA

台灣製造商注意:距離 CRA Article 14 強制通報義務上路,剩下不到 105 天

2026-05-30

倒數計時已經開始。

2026 年 9 月 11 日,歐盟《網路韌性法案》(Cyber Resilience Act,CRA)的 Article 14 強制通報義務正式生效。這不是 2027 年全面合規的預演,它是一個獨立的法律截止日,違者面臨最高全球年營收 2.5% 的行政罰款。

對台灣嵌入式系統製造商、工業電腦廠商、IoT 硬體出口商而言,這是 2026 年最不能忽略的合規時間點。

Article 14 到底要求什麼?

很多廠商把 Article 14 誤解為「資安技術要求」。它不是。Article 14 是一套治理與通報機制義務,核心要求如下。

第一,通報義務的觸發條件。 當製造商「知悉」(aware)以下兩種情況之一時,通報義務立即啟動:

第二,通報時限分三階段。

第三,「知悉」的判斷點。 這是最容易踩雷的地方。根據歐盟委員會 2026 年 3 月發布的草案指引,知悉的起算點是製造商完成初步評估、對事件有「合理確定程度」的時刻,而不是漏洞公開揭露的時刻。換句話說,你無法用「我還在調查」作為延遲通報的理由。

台灣廠商最常見的三個誤區

誤區一:「我有 ISO 27001,應該差不多符合了。」

ISO 27001 管的是組織層面的資訊安全管理(ISMS),CRA Article 14 管的是產品層面的漏洞通報機制。兩者的管轄對象根本不同。有 ISO 27001 認證,不代表你有能力在 24 小時內完成事件判斷、填報 ENISA 平台、並通知受影響的 EU 市場客戶。

誤區二:「我有 IEC 62443-4-1 認證,CRA 應該沒問題。」

IEC 62443-4-1 是安全產品開發生命週期(SSDLC)的認證,對應的是 CRA Annex I 的技術要求,對 Article 14 的治理文件義務幾乎沒有直接覆蓋。已有 4-1 認證的廠商,接下來需要補的是市場准入行政文件,包括 VDP 政策(Vulnerability Disclosure Policy)、PSIRT SOP、EU 授權代表(EU Authorized Representative)指定協議,這些都不在 IEC 62443 的框架內。

誤區三:「我等 2027 年全面合規再一起做。」

Article 14 的通報義務從 2026 年 9 月 11 日就對所有在歐盟市場的現售產品生效,不需要等到 2027 年。這意味著,你現在市場上的產品,今天就已經需要具備 Article 14 的應變能力。

你現在需要準備的具體清單

距離 9 月 11 日不到 105 天,以下是最低限度的整備項目:

  1. 成立或指定 PSIRT(Product Security Incident Response Team),即使是單人負責也要有正式文件記錄
  2. 建立 VDP 政策(Vulnerability Disclosure Policy),提供一個對外可見的漏洞回報入口
  3. 確認 EU Authorized Representative(EU AR)的指定,這是非歐盟製造商在 CRA 架構下的法定代理人,負責向 ENISA 通報的法律主體
  4. 熟悉 ENISA Single Reporting Platform(SRP)的操作流程,ENISA 預計在 9 月 11 日前完成平台上線測試
  5. 建立內部事件分類 SOP:哪些事件屬於「嚴重資安事件」,哪些屬於「已被積極利用的漏洞」,需要有內部判斷標準,否則在時限壓力下容易誤判

Wesley AI Inc. 的服務定位

Wesley AI Inc. 是台灣專注於歐盟 CRA 法規治理顧問的顧問公司,服務對象是出口歐盟的台灣嵌入式系統製造商、工業電腦廠商與 IoT 硬體業者。

我們提供的不是技術測試,也不是軟體工具導入,而是 CRA 合規所需的法規治理文件包:

服務對象以 2026-2027 年合規時程有明確壓力的台灣製造商為主,特別是已完成或正在進行 IEC 62443-4-1 認證、需要補強市場准入文件的廠商。

如果你的公司產品銷往歐盟,且尚未確認 Article 14 整備狀況,歡迎直接聯繫討論:wesley@wesleyai.com.tw