使用Lucent Sky AVM符合歐盟《資安韌性法案》(EU Cyber Resilience Act, CRA)

發布日期:2025/03/11

在當今數位時代,網路安全至關重要。歐盟《資安韌性法案》(Cyber Resilience Act, CRA),正式名稱為 《歐盟法規 (EU) 2024/2847》,已由歐洲理事會通過2024 年 12 月 10 日生效。該法案對具有數位元素的硬體和軟體產品制定了嚴格的網路安全標準,確保這些產品在整個生命週期內都保持安全。對於希望符合該法規的企業與組織,Lucent Sky AVM 提供了一套完善的解決方案。

認識歐盟《資安韌性法案》(CRA)

CRA 要求所有具數位功能的產品(包括軟體與硬體)在設計、開發及生產過程中必須考慮安全性,確保產品在上市時無已知弱點,並在整個產品生命週期內持續提供安全更新。該法案的核心目標是:

  • 提升進入歐盟市場的產品的整體網路安全性
  • 保護消費者和企業免受網路攻擊
  • 加強軟體供應鏈的安全性

網路安全合規範圍與時間表

CRA 適用於在歐盟市場上商業化銷售的「具數位元素的產品」(Products with Digital Elements, PDEs)。PDEs 包括純軟體產品,以及具備軟硬體並能連接網路或其他設備的產品,如家用電器、物聯網(IoT)設備、企業級網路設備等。

歐盟委員會根據風險等級,將 PDEs 分為不同類別,並要求不同程度的合規措施:

  • 「關鍵產品」與「重要產品 II 類」:製造商需與獨立認證機構合作進行合規驗證。
  • 「重要產品 I 類」:若產品符合歐盟標準或歐盟制定的共同規範,則可自行評估,否則仍需經由獨立認證機構驗證。
  • 「預設類別」產品:製造商可自行評估,確保符合 CRA 的網路安全要求。

CRA 於 2024 年 12 月 10 日生效,並將在未來三年內逐步實施:

  • 2026 年 9 月:資安弱點與網路安全事件的通報義務開始生效。
  • 2027 年 12 月:產品的網路安全要求與 CE 標誌規範全面適用。

不合規的代價高昂

若企業未能遵守 CRA 的網路安全與通報要求,將面臨最高 1500 萬歐元或全球營收 2.5% 的罰款(以較高者為準)。此外,歐盟當局還可要求將產品從市場上撤除。若產品失去 CE 標誌資格,則將被排除於歐洲市場之外。「CRA 是我們對現代安全威脅的回應,這些威脅已經遍布於我們的數位社會。歐盟在制定關於重要基礎建設、資訊安全準備與應對、以及資訊安全產品認證等法規方面一直是領導者,」歐盟執行委員會副主席 Margaritis Schinas 表示,「此法案將把資訊安全帶入每個家庭、每個企業、以及每個互聯的產品。資訊安全不再僅僅是產業的事情,而是整個社會的事情。」

CRA 不僅是歐洲的新法規,更代表了數位產品安全的趨勢:美國的聯邦通訊委員會也推出了 US Cyber Trust Mark 計畫,針對家用物聯網設備設立資安標準,讓符合條件的產品能貼上類似能源之星(Energy Star)的「Cyber Trust 標章」,以幫助消費者辨識安全可靠的 IoT 產品。

根據工研院產科國際所預估,台灣企業的物聯網(IoT)產值將於 2025 年達 2.5 兆台幣,而美國與歐盟為前兩大的物聯網市場。台灣企業如何加速對 CRA 等重要市場相關法規的準備,是維持台灣產品國際競爭力的關鍵。

Lucent Sky AVM 如何協助合規CRA

CRA 在附錄 I 中列出了兩大關鍵合規要求:

  1. 產品網路安全要求
  2. 弱點處理流程要求

作為應用程式弱點檢測與修復解決方案,Lucent Sky AVM 在這兩個方面都能提供強大支援,幫助企業確保其產品符合 CRA 的要求。

  1. 自動化弱點檢測與修復
    Lucent Sky AVM 可掃描程式碼、二進位檔案、以及軟體元件,檢測已知與未知弱點,並透過Instant Fixes和相依性更新指引,可自動修正弱點,確保產品上市前無已知弱點。
  2. 與軟體開發生命周期(SDLC)整合
    Lucent Sky AVM 可無縫整合至開發流程,並支援常見的開發者工具,使開發人員能夠及早發現並修復安全問題,確保符合 CRA 所要求的「安全設計」(Security by Design)原則。
  3. 第三方元件安全管理
    Lucent Sky AVM 能夠識別應用程式所使用的軟體元件與相依性,生成軟體物料清單(SBOM),並提供相依性元件更新建議,以確保企業能有效管理新發現的弱點,並持續為產品提供安全更新。
  4. 完整合規報告
    Lucent Sky AVM 支援OWASP Top 10、PCI DSS 等標準,並認證為 CWE-相容。報告經數位簽章,詳列產品中的已知與未知弱點及其風險以及 SBOM,確保企業能夠滿足 CRA 的技術文件要求。

立即行動,確保未來安全

對於在歐盟市場銷售數位產品的企業而言,符合 CRA 是不可避免的關鍵挑戰。現在開始將 CRA 合規融入軟體開發流程,不僅為2027 年後的市場做好準備,更能即刻提升軟體產品的安全性與韌性。

Lucent Sky 提供完整解決方案,助您高效滿足 CRA 的網路安全要求,加速軟體安全性提升。立即聯繫零壹科技專業團隊,了解 Lucent Sky AVM 如何幫助您的企業順利達成 CRA 合規!

 

返回上一頁