欧盟 CRA 白皮书
欧盟资安韧性法案 (CRA) 白皮书
Industrial Cybersecurity Readiness for Industrial IoT Devices
1. 摘要(Executive Summary)
随着欧盟资安法规持续演进,《资安韧性法案》(Cyber Resilience Act, CRA)已对所有具备数位功能的产品提出强制性资安要求。
泓格科技致力于符合 CRA 规范,透过强化产品资安设计、安全开发流程,以及漏洞管理机制,全面提升资安能力。
为落实此承诺,我们已启动以下国际标准认证:
- ISO/IEC 27001(资讯安全管理系统)
- IEC 62443-4-1(安全产品开发生命周期)
预计于 2026 年底前完成认证。
本白皮书说明我们迈向 CRA 合规准备(CRA Readiness)的策略与执行方向,确保合作伙伴与客户能长期获得安全可靠的产品。
2. 什么是 CRA(Cyber Resilience Act)?
《资安韧性法案》(CRA)为欧盟针对数位产品所制定的资安法规,主要针对:
- 具备数位元素的产品(Products with Digital Elements, PDE)
- 强制要求(资安内建(Security-by-Design)
- 规范产品全生命周期资安管理
- 要求建立漏洞通报与修补机制
主要目标:
- 提升欧盟市场整体产品资安水准
- 强化制造商责任
- 降低连网设备的资安风险
3. 产品适用范围
下列产品皆属于 PDE 范畴,需符合资安要求:
- 远端 I/O 模组
- 工业控制器
- 工业通讯闸道器
上述产品皆属于 CRA 所定义之「具数位元素产品(PDE)」,需符合相关资安要求。
4. CRA 合规策略
为符合 CRA 要求,我们从以下几个面向进行强化:
4.1 安全开发流程(Secure Development)
- 导入 IEC 62443-4-1 安全开发流程
- 建立以下机制:
- 安全程式设计规范
- 威胁建模(Threat Modeling)
- 资安测试(SAST / DAST)
4.2 资讯安全管理(ISMS)
- 建立 ISO/IEC 27001 资讯安全管理系统
- 涵盖范围:
- 风险评估
- 资产管理
- 存取控制
- 资安事件应变
4.3 漏洞管理机制
- 持续监控资安漏洞
- 建立 PSIRT(产品资安事件应变小组)
- 导入协同漏洞揭露(Coordinated Vulnerability Disclosure, CVD)流程
4.4 产品资安设计
我们的产品设计包含:
- 身分验证与授权机制
- 安全通讯(如 TLS)
- 韧体完整性验证
- 安全更新(Secure Update)机制
5. CRA 准备时程 (Roadmap)
| 阶段 | 时程 | 说明 |
|---|---|---|
| 第一阶段 | 2026 Q1 | 专案启动与差距分析 |
| 第二阶段 | 2026 Q2-Q3 | 建立 ISMS 与安全开发流程 |
| 第三阶段 | 2026 Q4 | 进行认证稽核 |
| 第四阶段 | 2027 起 | 持续维运与合规改善 |
6. 对合作伙伴的价值
透过 CRA 准备与资安强化,我们的经销商与系统整合商可获得:
- 降低欧盟市场法规风险
- 加速专案导入与审核
- 提升终端客户信任
- 确保产品长期资安支援
7. 持续合规承诺
资安并非一次性工作,而是持续改善的过程。
泓格科技将持续:
- 精进资安流程与制度
- 即时修补已知漏洞
- 与合作伙伴保持透明沟通
8. 结论
透过导入 ISO 27001 与 IEC 62443-4-1,
泓格科技正积极迈向 CRA 合规准备(CRA Readiness)。
我们致力于为欧洲市场提供安全、可靠且具未来性的工业解决方案。
9. 法律免责与联系声明
- 资讯性质:本白皮书所载之时程与目标仅供参考,不构成法律意义上的「保证取得认证」或「产品绝对安全」之承诺。
- 时程变动:相关认证进度可能受第三方稽核机构时程、法规变更或其他不可抗力因素影响。
- 契约优先:产品之具体技术规格与资安支援条约,应以双方正式签署之采购契约或产品说明书为准。
