OBL-ART13-01Binding
確保產品在整個生命週期內的安全(安全設計)
製造商必須設計、開發和生產含數位元素之產品,以基於風險提供適當的網路安全等級。 安全性必須在產品的整個生命週期內得到保障——從設計到廢置。
Art. 13(1)Art. 13(2)
Manufacturer
角色
Art. 3(13)製造商
製造商是指設計或製造含數位元素產品(或委託他人設計或製造),並以自己的名稱或商標銷售該產品的任何自然人或法人。
關鍵事實
- 在CRA框架下承擔最重的義務
- 必須開展網路安全風險評估
- 負責在支援期(至少5年)內提供安全更新
- 須從2026年9月11日起向ENISA報告被積極利用的漏洞
- 須起草歐盟合規聲明並加貼CE標誌
關鍵截止日期
1
2024年12月11日 — CRA正式生效
該法規在法律上已生效。自該日期起投放市場的產品須在應用日期到達後符合CRA要求。
2026年9月11日 — 漏洞報告義務生效
根據第14條向ENISA報告漏洞和事故成為強制性要求。這是第一個硬性截止日期。製造商必須在此日期之前建立好報告流程。
3
2027年6月11日 — 合格評定機構通知
成員國須向歐委會通報合格評定機構。
4
2027年12月11日 — 法規全面適用
所有CRA要求適用於所有範圍內的產品。不得再將不符合要求的新產品投放歐盟市場。
義務(30條)
OBL-ART13-02Binding
在投放市場前進行網路安全風險評估
在將含數位元素之產品投放市場前,製造商必須對該產品相關的網路安全風險進行評估。 風險評估必須為產品的設計、開發和生產提供依據,並必須作為技術文件的一部分加以記錄。
Art. 13(2)
Manufacturer
OBL-ART13-03Binding
編制並維護技術文件(附件VII)
製造商必須編制技術文件,其中包含證明產品符合CRA基本要求所需的全部資訊。 該文件必須保持最新狀態,並自投放市場之日起保存十年(若產品預期使用壽命更長則以較長者為準)。
Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding
完成適用的合格評鑑程序
製造商必須使用適合其產品類別的程序來證明符合性。預設產品可自行認證(模組A)。重要第I類 產品在適用協調標準時可自行認證;否則必須引入公告機構。重要第II類和關鍵產品始終需要公告 機構參與。
Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding
對軟體元件進行盡職調查(SBOM及供應鏈)
若含數位元素之產品中包含的軟體元件並非由製造商開發,製造商必須進行適當的盡職調查, 確保該元件不會危害產品的安全性。必須編制並維護軟體物料清單(SBOM)作為技術文件的一部分。
Art. 13(5)
Manufacturer
OBL-ART13-06Binding
確保投放市場時不存在已知可利用的漏洞
在將含數位元素之產品投放市場時,製造商必須確保產品不含任何已知可利用的漏洞。此義務 適用於分發時以及此後發布的每個更新。
Art. 13(6)
Manufacturer
OBL-ART13-07Binding
建立並公布協調漏洞揭露(CVD)政策
製造商必須制定協調漏洞揭露(CVD)政策並使其可公開取得。該政策必須提供回報漏洞的 聯絡點,並說明製造商將如何處理回報,包括確認時間表及在公開修復前與研究人員協調揭露的 流程。
Art. 13(7)
Manufacturer
OBL-ART13-08Binding
申報並揭露產品支援期間
製造商必須申報其產品的支援期間,並在購買前向使用者提供該資訊。支援期間必須至少 五年,除非產品的預期使用期間較短。支援期間結束日期必須出現在產品文件和銷售點中。
Art. 13(8)
Manufacturer
OBL-ART13-09Binding
在支援期間提供安全更新
製造商必須在至少五年內(若預期使用期間較短則以較短者為準)免費提供安全更新。 更新必須及時交付,與功能更新分開,並且必須揭露支援期間結束日期。
Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding
在整個支援期間處理並修復漏洞
製造商必須具備在整個支援期間識別、分析和處理其產品漏洞的流程。附件I第II部分規定了 詳細要求,包括CVE分配、CVSS評分、協調揭露和及時修復。
Art. 13(10)
Manufacturer
OBL-ART13-11Binding
起草歐盟符合性聲明(EU DoC)
製造商必須依據第28條和附件V起草歐盟符合性聲明,聲明產品符合所有適用的CRA要求。 歐盟符合性聲明必須保持最新狀態,並供市場監管機關以及視情況供使用者查閱。
Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding
在產品上貼附CE標誌
製造商必須在將產品投放歐盟市場前在其上貼附CE標誌,作為產品符合所有適用CRA要求的 證明。CE標誌必須清晰可見、易於辨讀且不可磨滅,並且必須在起草歐盟符合性聲明之後才能 貼附。
Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding
確保產品可被唯一識別(序列化)
製造商必須確保每個含數位元素之產品都帶有型號、批號、序號或其他允許識別的要素。 對於純軟體產品,版本號用於此目的。
Art. 13(14)
Manufacturer
OBL-ART13-14Binding
在產品上標示製造商聯絡資訊
製造商必須在產品或其包裝上標示其名稱、已登記商號或商標,以及郵寄地址。如有的話, 也必須標示電子聯絡地址(網站或電子郵件)。這使市場監管機關、進口商、經銷商和使用者 能夠聯絡製造商。
Art. 13(15)
Manufacturer
OBL-ART13-15Binding
向使用者提供說明與資訊(附件II)
製造商必須以使用者易於理解的語言,隨產品附上附件II所列的資訊和說明。這包括產品 識別碼、安全功能、回報漏洞的聯絡方式、支援期間結束日期以及安全使用指引。
Art. 13(16)
Manufacturer
OBL-ART13-16Binding
採取矯正措施並配合市場監管
若製造商有理由認為其投放市場的產品不符合CRA要求,必須立即採取矯正措施——包括必要時 撤市或召回。製造商還必須配合市場監管機關,並提供所要求的全部資訊和文件。
Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding
向ENISA報告遭主動利用的漏洞及事件
製造商必須在24小時內(早期預警)和72小時內(通知)通過單一申報平台向ENISA報告其產品 中任何遭主動利用的漏洞。最終報告須在14天內提交。此義務自2026年9月11日起適用。
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding
在72小時內向ENISA提交詳細漏洞通知
在得知產品中存在遭主動利用的漏洞後72小時內,製造商必須通過單一申報平台向ENISA提交 詳細漏洞通知。這是在24小時早期預警(OBL-ART14-01)之後的步驟,必須包含有關漏洞和 受影響產品的技術詳情。
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
在14天內向ENISA提交漏洞最終報告
在得知遭主動利用的漏洞後14天內,製造商必須向ENISA提交最終報告,其中包含漏洞的完整 說明、已採取的矯正措施,以及漏洞是否已公開揭露或已分配CVE的資訊。
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
即時通知使用者遭主動利用的漏洞
當漏洞遭主動利用時,製造商必須無不當延遲地通知受影響的使用者。通知必須包含足夠的 資訊,使使用者能夠採取保護措施,包括在修補程式發布前可採用的緩解措施。
Art. 14(4)
Manufacturer
OBL-ART18-01Binding
確保授權代表的授權書涵蓋法定最低任務
製造商可透過書面授權書指定授權代表(AR)。授權書須使AR至少能夠履行三項法定 最低任務:將歐盟合格聲明和技術文件保存至少10年供市場監督機構查閱;應要求 提供合格資訊;配合糾正措施。與設計和生產相關的核心義務不得委託。
Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART22-01Binding
對產品進行實質性改造並將其投放市場的任何人將成為製造商
除原製造商、進口商或經銷商以外的任何自然人或法人,若對產品進行實質性改造並 將其投放市場,即被視為製造商。該人須就受改造影響的產品部分,或若改造影響整個 產品的網路安全則就整個產品,遵守第13條和第14條。
Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding
維護供應鏈可追溯性記錄並應要求提供
所有經濟經營者須能夠應市場監督機構要求,識別 (a) 向其供應產品的任何經濟經營者, 以及 (b) 其向其供應產品的任何經濟經營者。記錄須從每次交易起保存10年。
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART28-01Binding
起草包含所有必要資訊的歐盟合格聲明
製造商須按照附件V的範本結構起草包含所有規定要素的歐盟合格聲明(EU DoC)。歐盟 合格聲明聲明產品符合適用的基本網路安全要求。簡化版(附件VI)可隨附產品,但 完整DoC須可在線取得。發生相關變更時須更新DoC。
Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding
起草並維護包含附件VII所有要素的技術文件
製造商須在產品投放市場前起草技術文件,並持續更新(至少在支援期內)。文件須 包含附件VII列出的所有要素,證明產品及製造商流程如何滿足附件I的基本網路安全 要求。須保持可供市場監督機構查閱至少10年或支援期。
Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding
在將產品投放市場前選擇並完成正確的合格評定程序
製造商須在產品投放市場前進行合格評定,證明產品和製造商的流程均滿足附件I的 基本要求。所需程序取決於產品分類:標準產品採用A模組(自我評定),某些情況下 重要產品須第三方評定,第II類重要產品和關鍵產品須強制參與公告機構。
Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
OBL-ART6-01Binding
確保產品符合基本網路安全要求(附件I 第I部分)
含數位元素的產品僅在滿足附件I 第I部分規定的基本網路安全要求時,方可在歐盟市場 上市——前提是正確安裝、維護並按預期用途使用,且已安裝所需的安全更新。
Art. 6(a)
Manufacturer
OBL-ART6-02Binding
確保漏洞處理流程符合基本要求(附件I 第II部分)
含數位元素的產品僅在製造商建立的流程符合附件I 第II部分基本網路安全要求(涵蓋 整個支援期內漏洞的識別、管理和揭露)的情況下,方可在歐盟市場上市。
Art. 6(b)
Manufacturer
OBL-ART7-01Binding
判斷產品是否屬於「重要產品」並適用正確的合格評定程序
核心功能屬於附件III類別的產品為「含數位元素的重要產品」,須遵循更嚴格的合格 評定程序。第I類重要產品僅在完全適用協調標準或通用規範時方可使用A模組自我評定; 否則需要公告機構。第II類始終需要公告機構。
Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding
判斷產品是否屬於「關鍵產品」並取得歐洲網路安全認證
核心功能屬於附件IV(帶安全箱的硬體裝置、智慧電表閘道和智慧卡/安全元件)的產品 為「含數位元素的關鍵產品」。委員會採用相關委託行為後,這些產品須取得保證等級 不低於「充分」的歐洲網路安全證書。在此之前,須按B+C模組或H模組進行合格評定。
Art. 8(1)Art. 32(4)
Manufacturer