verified_user
Standardful
首頁chevron_right標準chevron_right歐盟 CRA
現行有效國際標準update 標準更新:2024年12月fact_check 事實核查:2026年6月28日

歐盟 CRA

網路韌性法案 法規(EU)2024/2847

apartment發布組織:歐盟

標準簡介

歐盟 CRA 是由 歐盟 發布的現行有效標準,常用於科技、電子產品、製造業、服務業等產業,並適用於歐盟、歐洲經濟區等市場。

本頁整理了 歐盟 CRA 的官方文件、目前狀態以及常見相關認證或評估機構,便於快速理解要求與落地路徑。

實施路線圖

1
階段 1schedule 預計週期: 3-6 周

定義含數字元素產品的網絡安全範圍

識別 EU Cyber Resilience Act 覆蓋的產品、服務、場所、系統、團隊、司法轄區和相關方。確認責任人、邊界、適用義務、文件和證據期望,範圍包括產品範圍、基本網絡安全要求、安全設計、漏洞處理、符合性評估、CE 標誌、技術文件、事件報告,以及製造商、進口商和分銷商義務。

2
階段 2schedule 預計週期: 4-10 周

評估差距並排列風險優先級

將當前實踐與預期的含數字元素產品的網絡安全方法進行比較。審查安全設計要求、威脅建模、漏洞管理、安全更新、SBOM 或組件記錄、符合性路徑選擇、歐盟聲明、CE 標誌和市場監督準備,並按法律暴露、安全影響、客戶承諾、運營依賴以及審覈或市場準入準備度排列差距優先級。

3
階段 3schedule 預計週期: 8-24 周

實施控制和記錄

部署所需程序、技術控制、評審關口、培訓、供應商流程、報告路徑和運行記錄。維護技術文件、風險評估、測試結果、漏洞處理程序、更新記錄、組件清單、符合性評估文件、歐盟聲明、事件報告和分銷記錄作爲可追溯證據。

4
階段 4schedule 預計週期: 持續進行

評審、審覈並改進

開展內部評審、管理報告、審覈、糾正措施和變更評估。當產品、服務、供應商、技術、法規、事件或相關方期望變化時刷新項目。

合規檢查清單

0 / 12

checklist 範圍與治理

checklist 控制與證據

checklist 監控與改進

常見問題解答

誰需要 EU Cyber Resilience Act?

expand_more

EU Cyber Resilience Act 最適用於將含數字元素產品投放歐盟市場的製造商、進口商、分銷商和開源管理方。具體範圍取決於產品、服務、司法轄區、客戶承諾,以及組織是否需要認證、符合性證據、監管準備或內部治理。

EU Cyber Resilience Act 是否可認證?

expand_more

CRA 是產品監管制度,關注符合性評估、技術文件、漏洞處理和報告義務,而不是管理體系證書。

實施時應先關注什麼?

expand_more

先定義範圍和義務,再建立當前狀態差距評估。早期最重要的工作是確認責任、受影響資產或過程、風險準則、客戶或法律驅動因素,以及組織必須能夠提供的證據。

EU Cyber Resilience Act 需要哪些證據?

expand_more

有用證據包括技術文件、風險評估、測試結果、漏洞處理程序、更新記錄、組件清單、符合性評估文件、歐盟聲明、事件報告和分銷記錄。證據應進行版本控制,能夠追溯到責任人,並關聯風險、義務、控制、決策和糾正措施。

項目應多久評審一次?

expand_more

應按計劃週期評審,並在產品、服務、供應商、運行環境、事件、客戶承諾或法規變化時評審。高風險領域應採用更頻繁的監控和管理報告。

官方文件

查看全部

相關分類