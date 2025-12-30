生成式AI、工業物聯網（IIoT）與智慧終端快速普及，正把多數設備推向「具備數位元素之產品」且長期連網的型態。

TÜV NORD Taiwan工業服務部國際AI資安策略總監林正偉指出，歐盟以《網路韌性法案》（CRA）為核心，將資安要求直接綁定產品上市門檻，對以出口電子與系統產品為主力的台灣產業而言，這已不再是法規解讀議題，而是能否持續取得歐洲訂單、維持供應鏈資格的關鍵競爭條件。

林正偉表示，CRA的核心在於把資安治理由單一「產品功能」拉升到可稽核的「開發過程」。法規不僅要求產品本身具備必要的安全防護能力，更強調製造商必須建立持續性的弱點監控與通報機制，並以嚴謹且文件化的程序管理整個開發流程。尤其在技術文件中維護完整的軟體物料清單（SBOM），讓企業在曝險元件被揭露時，能迅速追溯受影響版本並採取補救措施。

在實務推動上，他點出台灣企業最大的風險在於「權責不清」。多數製造商談到網路安全，直覺就是交給資訊部門或IT團隊處理，但CRA規範的對象是「具備數位元素之產品」本身，而非企業內部IT環境。因此，真正必須主導落實的應是產品研發（R&D）與產品管理團隊，從前期架構設計與風險評估、需求定義，到程式碼實作、整合測試與驗證，都應由R&D負責產出可追溯的合規文件，讓資安成為產品設計的一部分，而不是出貨前才補強的附加項目。

針對尚在建構中的歐盟調和標準體系，林正偉提醒，若企業選擇靜待所有標準正式發布才啟動專案，屆時時程與成本壓力將難以承受。他建議善用現有成熟框架作為銜接基礎，例如工業控制資安標準IEC 62443系列，藉此建構安全開發生命週期（SDLC）的管理與技術體制，未來對照歐盟調和標準時，多半只需要進行對應與微調即可平順接軌。

他強調，CRA的推行象徵全球供應鏈資安標準正在發生典範轉移。企業應立即啟動內部盤點，釐清各項產品是否落在法規定義的「重要產品」或「關鍵產品」類別，因為這將直接影響能否採用自我聲明程序，或必須引入第三方機構進行符合性評鑑。透過落實產品生命週期的資安管理，並將資安責任回歸研發源頭，台灣製造商才能在這波法規浪潮中站穩腳跟，確保產品順利進入歐盟市場。