歐盟 CRA 強制執行倒數！叡揚資訊攜手各界專家助台灣產業迎戰國際法規挑戰

隨著全球資安法規加速落地，產品安全已不再是單一產業的議題，而是所有含數位元件的產品與服務共同面臨的國際挑戰。歐盟議會通過投票正式批准了「歐盟網路韌性法案」(Cyber Resilience Act, CRA) 已於 2024 年 12 月生效，並將在 2027 年全面強制執行。該法案要求所有含數位元件的軟硬體製造商必須在產品生命週期中持續落實 SSDLC（Secure Software Development Life Cycle）導向的安全管理，確保從設計、開發、部署到維護全程具備可追溯、可稽核的資安控制。不僅不得出現已知可利用漏洞，一旦發現重大漏洞，製造商需 24 小時內進行通報，並在 14 天內完成修補並送交初步補救報告 ，後續也需於一個月內向主管機關提交完整補救報告，未能遵循者將面臨最高可達全球營收 2.5% 的巨額罰款。
 
為協助台灣產業掌握國際法規趨勢並提前布局，叡揚資訊於今年 8 月曾舉辦「產業升級×接軌國際：製造業軟體安全開發高峰會」，會中特別邀請專注在 C 語言檢測的 CodeSonar 副總裁 Mark Hermeling 來台深入解析 CRA 帶來的衝擊，並展示如何透過深度靜態分析，在 C 語言與嵌入式系統開發早期就能發現傳統檢測難以捕捉的高風險弱點。值得一提的是，CodeSonar的開發商 CodeSecure 已於 2025 年 6 月與 AdaCore 正式合併，共同致力於提供更全面的嵌入式軟體安全與高可靠性解決方案，助力關鍵產業面對日益嚴峻的資安法規與挑戰。
 
延續叡揚資訊長期推動軟體安全領域的投入，日前叡揚資訊亦攜手財團法人資訊工業策進會資安科技研究所、台灣區電機電子工業同業公會與各界專家，於 11 月 27 日舉辦「因應歐盟韌性法案（CRA）跨足歐盟市場研討會」，共同探討歐盟國際法規對產品生命週期、軟體供應鏈治理與跨國市場競爭力的影響，並提出符合國際標準的實務對策。
 
面對 CRA 法規所要求的「安全設計」、「持續弱點管理」與「可稽核證據」等義務，叡揚資訊強調，企業需要的並非更多工具，而是能真正讓安全流程落地的能力。此外，完善的 SBOM（Software Bill of Materials）與元件治理同樣至關重要，透過完整的元件清冊與版本追蹤，企業才能在漏洞公告發布時快速掌握受影響範圍、採取修補行動，並生成可供稽核的合規證據，這也使 SBOM 成為協助企業提升產品生命週期透明度、回應國際法規要求的重要基礎。
 
隨著 CRA、UNECE R155/R156 與全球多國法規相繼上路，全球產業正在邁入「軟體安全即產品品質」的新時代。叡揚資訊專注於軟體技術與應用服務已逾三十年，在資安領域累積超過二十年的實務經驗，憑藉在安全軟體開發生命週期 (SSDLC)、零信任架構與供應鏈安全上的深厚實務經驗，協助企業從設計、開發、測試到部署與維運，都能以國際法規為基準建立完整的安全治理體系，協助企業建立符合 CRA 要求的證據鏈，從弱點管理、SBOM 更新、DevSecOps流程到執行期防護與雲端態勢管理，轉化成企業日常可運作、可延續的能力。

▲ 首圖圖說：數發部產業署林俊秀署長、電電公會林全能祕書長、資策會資安所高傳凱副所長等產官研領袖齊聚，共同推動臺灣面對 CRA 等國際資安法規的整備。