隨著物聯網裝置和數位產品的發展與普及,歐盟市場上充斥來自不同國家、資安水準參差不齊的各種軟、硬體系統與設備,歐盟希望藉由歐盟網路韌性法(CRA)保護消費者與企業免於駭客攻擊的威脅,同時降低各會員國在資安事件中的經濟損失。
歐盟電腦網路危機處理中心(CERT-EU)公布的2024年威脅態勢報告顯示,該年度至少有110名駭客針對歐盟國家及其鄰近地區發動網路攻擊,且其中20名駭客已成功入侵部分歐盟實體單位,顯見駭客攻擊歐盟國家之次數逐年成長,成功入侵的件數也隨之增加,因而加深歐盟民眾對於網路安全的疑慮。
尤其,隨著物聯網裝置和數位產品的發展與普及,歐盟市場上充斥來自不同國家、資安水準參差不齊的各種軟、硬體系統與設備,因此如何確保這些數位產品具備一定的網路安全水準,即成為歐盟急欲解決的重要課題。歐盟網路韌性法(Cyber Resilience Act,以下簡稱CRA)就是在這樣的背景下提出,並於2024年12月10日正式生效,歐盟希望藉由CRA保護消費者與企業免於駭客攻擊的威脅,同時降低各會員國在資安事件中的經濟損失。
適用範圍
CRA為保護歐盟市場上的消費者及企業,讓他們可以購買到更安全的數位產品,故要求未來在歐盟市場銷售的所有直接或間接連接到其他設備或網路的數位產品,包含智慧家電產品(如智慧冰箱、電視、智慧門鎖)、穿戴式裝置(如智慧手表、健康監測器)、物聯網裝置(如智慧燈泡、連網插座)、其他軟硬體產品(如作業系統、防毒軟體、密碼管理器、VPN產品、作業系統、路由器)等,其製造商、代理商、進口商與經銷商,都必須符合CRA規定的網路安全要求與相關義務,否則恐面臨1,500萬歐元或前一會計年度全球營業額2.5%的高額罰款。
因此,台灣公司未來若希望將其數位產品銷售至歐盟國家,其製造商、代理商、進口商與經銷商即需遵守CRA規定的網路安全要求與相關義務,否則將面臨禁售或高額罰款等風險,因此須瞭解CRA的相關規定。
製造商義務
根據CRA的規定,歐盟課予數位產品製造商在產品設計開發與生產階段、產品上市階段、產品上市後等整個產品生命週期、網路安全方面的義務,以提高產品的安全性,茲將不同階段的義務說明如下:
產品設計開發與生產階段
該階段製造商的主要義務在於,使相關產品符合CRA規定之基本網路安全要求,並進行網路安全評估:
‧符合基本網路安全要求:製造商必須確保其投入歐盟市場的數位產品,在設計、開發與生產過程中,都能符合CRA所規定的基本網路安全要求,包括(1)具備安全的預設設定;(2)確保資料的完整性、機密性與可用性;(3)防止未經授權的存取;(4)最小化攻擊面;(5)保護產品免遭惡意利用;(6)記錄與監控;(7)提供使用者清晰的安全相關資訊,而可將其網路安全風險降到最低。
‧實施網路安全風險評估:為確保數位產品上市前能符合前述安全要求,製造商必須考量該產品的預期用途、可合理預見的使用情境及運作環境等因素,對其進行全面的網路安全風險評估。
產品上市階段
產品上市階段,製造商的主要義務在於提供技術文件、聯絡資訊與符合性聲明:
‧提供清晰的使用說明與資訊:製造商必須提供清楚易懂的產品資訊與安全使用說明,內容應包含產品的一般描述(包含型號、版本、用途等)、設計與製造資訊(包含電路圖、架構、原始碼或功能描述等)、風險評估與網路安全措施、測試與驗證結果、漏洞管理政策、軟體更新機制說明等,該資訊並應在產品上市後保存至少10年,以供市場監管機構隨時查核。
‧標示聯絡資訊:製造商必須於產品本身、包裝或隨附文件中,清楚標示其名稱、註冊商標、聯絡地址與電子郵件等資訊,以供使用者和監管機構能直接聯繫該製造商。
‧提供符合性聲明:製造商須出具包含製造商名稱與地址、產品識別資訊、適用法規與標準、簽署人姓名與職位等內容之歐盟符合性聲明(EU Declaration of Conformity),以確認該產品符合CRA及相關法規之規定。
產品上市後
產品上市後,製造商的主要義務在於,進行漏洞處理、及時修補與安全更新與通報義務:
‧設定產品支援期限:製造商須為其產品設定合理的支援期限(至少5年),且必須在此期間內有效處理產品漏洞。
‧建立漏洞處理程序:製造商必須建立包含漏洞接收、分析、修補與通報機制等之漏洞處理流程,並須設立單一聯絡窗口的漏洞通報管道,方便使用者或相關人員通報產品漏洞。
‧及時修補與更新:發現產品存在可被利用的漏洞時,製造商有義務立即採取修補措施,並提供安全的更新。
‧通報義務:發現產品漏洞被積極利用,或發生影響產品安全的資安事件時,製造商須在發現後24小時內,向電腦資安事件應變小組(CSIRT)和歐盟網路安全局(ENISA)進行通報,且須迅速通知受影響的使用者,並提供使用者可採取之降低風險措施。
‧產品不合規:製造商如發現其產品不符合基本網路安全要求,須立即採取必要的矯正措施,使其符合規定,否則恐需將產品從市場上撤回或召回。
產品分類
依前述說明可知,數位產品製造商須確保其產品符合CRA基本網路安全要求,然CRA對於數位產品之安全要求,並非完全相同,而係依其重要性,區分成「一般類別產品」、「重要類別產品」及「關鍵產品」三個主要類別,進行不同程度的網路安全要求,詳細說明如下:
一般類別產品
所有未被明確歸類為「重要」或「關鍵」的產品,包括智慧家電、智慧型手機、筆記型電腦、印表機、藍牙喇叭等皆屬此類產品。這些產品被認為屬於中等或較低的網路安全風險,製造商可透過執行「內部控制(即製造商自行進行全面的風險評估)」,確保其產品設計、開發、生產和發布階段,符合基本網路安全的要求,且須於完成內部控制後,發布歐盟符合性聲明,以確認該產品符合CRA及相關法規之規定。
重要類別產品
是指被列於CRA附件三中,提供認證、VPN、防毒、網路管理等安全功能之產品。其中,第一類重要產品,包括密碼管理器、作業系統、路由器、微處理器、通用瀏覽器等,製造商可選擇「內部控制(即製造商自行進行全面的風險評估)」或「第三方驗證(由歐盟認可的評估機構進行)」的方式來確保其產品符合CRA的基本網路安全要求;第二類重要產品,包括防毒軟體、VPN產品、網路防火牆、入侵偵測系統、集中式存取管理系統、安全資訊和事件管理(SIEM)系統等,製造商只能以「第三方驗證(由歐盟認可的評估機構進行)」的方式來確保其產品符合CRA的基本網路安全要求。
關鍵產品
是指被列於CRA附件四中,具備安全模組的硬體裝置、智慧電表系統中的智慧電表閘道器、智慧卡或類似裝置等產品。這些產品,須依歐盟2019/881號規則所採納的歐洲網路安全認證計畫,取得至少「實質級」保證等級之歐洲網路安全認證,以證明其符合CRA的基本網路安全要求。
結語
CRA於2024年12月10日通過後,將於2026年9月11日起要求相關廠商執行通報義務,並將於2027年12月11日全面適用。對此,台灣數位產品製造商未來若希望將數位產品銷售至歐盟國家,即須瞭解CRA之相關規定,並於產品設計開發與生產階段、產品上市階段、產品上市後等整個產品生命週期,遵循CRA有關網路安全之要求,以免產品上市後面臨禁售或高額罰款等風險。
<本文作者:黃于珊目前為執業律師,輔仁大學圖書資訊與資訊管理雙學士,交通大學科技法律研究所碩士,美國華盛頓大學智慧財產權法碩士,曾擔任系統工程師、專利工程師。專攻領域為智慧財產權法、個人資料保護法、高科技產業議題及資訊通訊法等。>