歐盟於2024年通過、並將於2027年全面生效的網路韌性法案CRA,針對所有具備數位元素產品制定水平式網路安全法律。提早布局硬體信任根、完善漏洞修補機制、並擁抱設計安全精神的廠商,才能穩健地守住市場版圖。
歐盟於2024年正式通過、並將於2027年全面生效的《網路韌性法案》(Cyber Resilience Act, CRA),將以強大的法規約束力,大規模地改變全球電子產品的設計邏輯。對於以出口為導向的台灣資通訊產業而言,這不僅是技術挑戰,也將對產品設計重點帶來深遠的影響。
電子產品資安CRA全面覆蓋
歐盟CRA是全球首部針對具備數位元素產品(Products with Digital Elements, PDE)制定的水平式網路安全法律。其影響範疇極廣,從智慧手表、嬰兒監視器等消費性電子,到工業控制系統、智慧電網等關鍵基礎建設,只要內建有軟體的產品,皆在規範之列。
英飛凌(Infineon)大中華區消費、計算與通訊業務行銷經理鄭力仁(圖1)指出,CRA的核心精神在於將資安責任歸於製造商,並要求產品在全生命週期從研發、上市到報廢都必須維持高度的韌性。意味著廠商不能再以產品已售出為由逃避資安責任。
圖1 英飛凌大中華區消費、計算與通訊業務行銷經理鄭力仁強調,硬體安全模組不再是高階設備的專利,而是所有聯網裝置的基石
CRA的三大關鍵支柱包括:設計安全(Security by Design),要求製造商在產品開發初期就必須納入安全考量,並進行風險評估。關鍵在於軟體透明度與軟體材料清單(Software Bill of Materials, SBOM),產品必須檢附SBOM,清晰記錄所有使用的開源與協力廠商組件,以便在漏洞發生時迅速反應。製造商必須建立完善的漏洞通報機制,並在發現漏洞後24小時內通報相關主管機關,同時提供至少5年的安全性更新。
硬體信任根是法規依循起點
面對CRA明確且具備追溯力的要求,單純依賴軟體加密已顯得捉襟見肘。鄭力仁強調,硬體安全模組不再是高階設備的專利,而是所有聯網裝置的基石。在傳統設計中,金鑰與敏感資訊常儲存在快閃記憶體(Flash)或通用型微控制器(MCU)中,容易遭受側信道攻擊(Side-channel attack)或物理拆解。CRA要求的不可篡改性與唯一身分認證,最佳的實現方式是透過硬體安全晶片(如TPM 2.0或Secure Element)。這些晶片具備獨立的運算空間與物理防護機制,能確保裝置在入網、認證及空中更新(OTA)過程中,其核心金鑰不外流。
CRA挑戰中帶來機會
對於以出口導向為主的台灣電子製造業而言,CRA宣告了硬體功能至上時代的終結,產品資安要求預計將正式成為與安規、EMC、RF同等重要的市場准入條款。鄭力仁直言,相較過去許多類似法規,CRA被認為將帶動廠商轉型的關鍵為具體的罰則,違者將面臨最高1,500萬歐元(約5億台幣)或全球年營收2.5%的天價行政裁罰。這不僅是法規遵循的問題,更是企業的生存淘汰賽。
CRA將產品依風險等級分為四大類(圖2),潛在風險由輕至重分別為:
- 預設產品(Default):市面上約90%產品(如智慧檯燈、普通家電)屬於這個類別。可採自我宣告,合規成本最低。
- 重要產品一類(Important Product Class I):如作業系統、防火牆、工業控制系統、微處理器。
- 重要產品二類(Important Product Class II):這類產品通常需要第三方驗證機構(Notified Body)介入。
- 關鍵產品(Critical Product):如智慧卡讀卡機、智慧電表產品等,合規成本最高。
圖2 CRA四大產品風險等級分類
橫跨這四大不同類別產品,將會有一系列的調和標準(Harmonized Standards)做為合規原則,類似所有產品都應該要做到的最低門檻。歐盟CRA的出現,代表物聯網野蠻生長時代的終結。鄭力仁認為,資安法規的推動雖有陣痛,卻是讓萬物聯網從能用走向安心用的必經之路。
從成本支出轉化為競爭紅利
許多廠商將CRA視為增加成本的絆腳石,但鄭力仁認為,CRA實際上是台灣廠商擺脫低價競爭、切入全球價值鏈的絕佳機會。要完全符合CRA的規範,產品需要經過複雜的測試與認證過程。廠商應選擇已獲得國際資安認證的晶片方案。
CRA條文中關於安全性更新的要求極具挑戰。過去,低功耗裝置常因Flash空間不足或網路頻寬限制而省略OTA功能。鄭力仁強調,2026年以後的產品設計,必須預留足夠的記憶體與運算資源以支援長達數年的安全更新下載,這不僅是法規要求,更是維持品牌聲譽的關鍵。
因應2027年歐盟即將上路的CRA,英飛凌也提供了符合CRA規範的多項產品組合,包括:PSOC、AIROC、XMC微控制器系列、Wi-Fi、BTBLE、SEMPER Secure安全記憶體等,滿足物聯網等多種應用的需求。針對CRA Unclassified以及Class I的類別,英飛凌透過在工廠將IC進行預燒錄的方式做加密,提供符合性價比的安全性。另外,針對Class II以及Critical Products類別,則可透過外掛英飛凌OPTIGA安全晶片的方式,以硬體式安全提供更完備的安全防護。
對於台灣廠商的布局與因應可以考慮以下三點建議:
- 及早評估產品壽命:若產品預期銷往歐洲且生命週期跨越2027年,現在就必須導入符合CRA標準的硬體設計。
- 建立資安夥伴關係:資安不是單打獨鬥,應與晶片商、認證實驗室及軟體安全服務商緊密合作。
- 強化供應鏈管理:確保上游供應商提供的組件同樣具備資安合規性,因為CRA的連帶責任是整體的。
目前CRA許多施行細則都尚未公布,而這也是現階段積極因應廠商的黃金準備期,當2027年的強制執行期限來到,唯有那些提早布局硬體信任根、完善漏洞修補機制、並擁抱設計安全精神的廠商,才能在這場數位韌性的馬拉松中,穩健地守住歐洲乃至全球市場的版圖。