網路韌性法案（CRA）

Moxa 堅守 CRA 符規承諾

35 年來，Moxa 致力於開發各種解決方案，以因應全球最關鍵、最嚴苛的工業環境的要求。早在《網路韌性法案》（CRA）頒布之前，Moxa 便已致力於落實網路安全實務，並躋身最早取得工業網路安全最高標準── IEC 62443-4-1 認證的業界先驅之一。這證明了 Moxa 從一開始便以安全、可靠與高韌性為核心設計原則，而非為了因應新法規才調整方向。

系統性安全

Moxa 通過 IEC 62443-4-1 認證的安全開發生命週期 (SDLC) 與 CRA 關鍵要求相符。

值得信賴的夥伴

為客戶提供適當的安全更新和安全漏洞管理。

與時俱進的解決方案

主動遵循法規要求和不斷演進的歐盟標準。

我們對《網路韌性法案》的策略性理解

歐盟法規（EU）2024/2847 所定義的《網路韌性法案》（CRA）是劃時代的全新法規，針對銷售至歐盟市場，內含數位元件的產品（PwDE）制定橫向網路安全要求。如今，全球各地均強制要求這類產品需遵循網路安全規範。

製造商必須符合 CRA 安全要求，才能取得備受重視的 CE 標誌，否則產品無法在歐盟市場銷售。

CRA 簡介

CRA 針對內含數位元件的產品（PwDE）的整個生命週期，制定明確的橫向網路安全要求。製造商必須符合這些安全要求，才能取得備受重視的 CE 標誌，否則產品無法在歐盟市場銷售。

簡言之，CRA 的主要目標包括：

建立歐洲數位市場的韌性。
提升使用者對網路安全的掌握度。
確保數位產品（PwDE）的安全漏洞大幅減少。

Flowchart illustrating the Cyber Resilience Act's core cybersecurity requirements, which are broken down into four key pillars: secure-by-design, lifecycle security, vulnerability management, and compliance documentation.

深入了解 CRA 要求

附件一列出的基本網路安全要求：

A. 產品特性之基本要求（第一部分）：從設計到生產，製造商都須根據已發現的風險，確保產品具備足夠的資安保護措施。其核心要求包括「資安始於設計/資安始於預設（Secure by Design/Default）」和「存取控制」。

B. 安全漏洞處理的基本要求（第二部分）：製造商必須確保在整個支援期間（亦即產品預期的使用期間）內，皆能夠有效地處理安全漏洞。

該法規自 2024 年 12 月 10 日起生效；2026 年 9 月 11 日，安全漏洞通報將成為強制要求；2027 年 12 月 11 日，在歐盟市場銷售的所有符合 CRA 適用範圍的產品（PwDE）都必須完全符合 CRA 的各項要求。

CRA 時程表和截止日期

CRA 將分階段實施，讓製造商有時間進行調整與適應。該法規自 2024 年 12 月 10 日, 起生效，並在接下來數年內分階段實施。2026 年 9 月 11 日是重要的中期截止日期，屆時安全漏洞通報將成為強制要求。2027 年 12 月 11 日是最關鍵的合規日期，屆時在歐盟市場銷售的所有符合 CRA 適用範圍的產品（PwDE）都必須完全符合 CRA 的各項要求。

善用 Moxa 的 OT 專業知識與資安始於設計實作來建構 CRA 基礎

我們的穩健基礎建立在多個核心支柱上，旨在利用我們現有的專業知識，包括 IEC 62443 框架，來滿足 CRA 的基本安全要求。

An image symbolizing the EU Cyber Resilience Act, where a judge

遵循國際標準

我們深知採用公認的國際框架，是符合法規要求的最佳方法。我們的策略建立在 CRA 和歐洲調和標準的基礎要求上。
• 符合 IEC 62443 標準：我們的安全開發流程和功能規格符合 IEC 62443-4-1 和 4-2 標準，涵蓋基礎安全要求。
• 調和標準：我們積極與歐洲組織（CEN/CENELEC/ETSI）合作，採用橫向標準來提升整體網路韌性，並針對特定產品實施縱向標準。

A circular diagram illustrating the Moxa Secure Development Life Cycle process. It shows a continuous cycle with core stages, continuous improvements and security update management.

採用安全的生命週期管理

我們採用不受特定流程限制的風險導向式策略，確保在整個產品生命週期中貫徹「資安始於設計（secure-by-design）」理念。
•   持續進行評估：在產品規劃、設計、生產和維護階段，都會進行網路安全風險評估，並保存相關紀錄。
•   供應鏈安全性：在整合第三方和開放原始碼元件時，我們會進行嚴格的盡職調查，以防範安全風險。
•   永續支援：我們制定了安全的更新機制，以便在指定的支援期限內，即時向使用者提供安全更新。

Flowchart showing the Moxa PSIRT coordinating vulnerability information between security researchers, government CERT organizations, and its customers.

即時的安全漏洞處理

為因應 CRA 對安全事件快速通報的要求，我們設有專責的產品資安事件應變小組（PSIRT），致力於應對工業設備的長期安全挑戰。
•   全球框架：我們的運作遵循 ISO 29147（漏洞揭露）與 ISO 30111（漏洞處理），與 CRA 採用的參考框架相同。
•   協調響應：我們採用 FIRST 服務框架，以便可靠地處理所回報的安全漏洞並發布安全公告。
•   長期關注：我們的流程為預計需安全運作數十年的工業設備提供支援。

安全控制與文件記錄

我們維護且保留完整且可供稽核的安全性證據，同時確保產品具備可支援客戶安全運作的設計與功能。
• 使用者透明度：我們提供明確的產品資訊，包括預期用途、支援截止日期，以及漏洞回報聯絡方式等。
• 內建的防禦機制：我們的設備具有強大的身分驗證、安全的預設配置，以及可即時部署修補程式的工具。

常見問答集（FAQ）

歐盟《網路韌性法案》（CRA）是一項歐盟法規，為所有在歐盟市場銷售，內含數位元件的產品（包括硬體與軟體）制定強制性的網路安全要求。其目的是確保這些產品在整個生命週期中，都能維持最高的安全性。

CRA 適用於所有內含數位元件的產品，包括可連線的硬體（例如智慧型手機、IoT 設備、路由器）和軟體（例如作業系統、應用軟體、軟體程式庫），只要它們能直接或間接地連接到其他設備或網路。CRA 的適用範圍不包括已受其他法規規範的特定產品，例如醫療設備與汽車，以及為非商業用途開發的開放原始碼軟體。Moxa 的工業通訊設備產品線全都屬於 CRA 的適用範圍，涵蓋工業安全路由器、乙太網路交換器、串列設備伺服器，以及網路管理軟體。

在產品上市前，製造商必須進行網路安全風險評估，確保產品符合基本的網路安全要求，並在整個產品生命週期中提供安全更新和安全漏洞處理。他們還須準備技術文件、進行符合性評估、貼上 CE 標誌，並向相關機構通報已被利用的安全漏洞或重大安全事件。

CRA 調和標準是由歐洲認可的標準組織（ESO）（包括 CEN、CENELEC 和 ETSI），應歐盟委員會的要求而制定的歐洲標準。這些標準對於實施《網路韌性法案》（CRA）至關重要，因為它們將法規中規定的基本網路安全要求，轉化為詳細的技術規格。標準化工作正進行中，並以現有的國際和歐洲標準為基礎。橫向標準預計於 2026 年 8 月發布，縱向標準則預計於 2026 年 10 月發布。（資料來源：www.cencenelec.eu）

自 2026 年 9 月 11 日起，製造商必須通報安全漏洞與事件，所有其他 CRA 要求（包括產品上市前符規）則於 2027 年 12 月 11 日生效。

未遵守 CRA 的企業，可能會被處以高額罰款。對於最嚴重的違規行為，公司將面臨高達 1,500 萬歐元的罰款，或全球年度總營收的 2.5%，取兩者較高者。其他違規行為，則處以較低的罰款。

CRA 和 NIS2 指令的宗旨都是改善歐洲的網路安全，但兩者側重的點各不相同。NIS2 著重於關鍵基礎設施和重要服務供應商的網路和資訊系統安全性。CRA 的重點則是確保數位產品本身的安全性，並在設計階段便將安全納入考量。