CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

義務庫

法規(EU)2024/2847下的所有義務——可追溯至具體條款,附有通俗語言解釋和證據指導。

OBL-ART7-01Binding

判斷產品是否屬於「重要產品」並適用正確的合格評定程序

核心功能屬於附件III類別的產品為「含數位元素的重要產品」,須遵循更嚴格的合格 評定程序。第I類重要產品僅在完全適用協調標準或通用規範時方可使用A模組自我評定; 否則需要公告機構。第II類始終需要公告機構。

Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding

判斷產品是否屬於「關鍵產品」並取得歐洲網路安全認證

核心功能屬於附件IV(帶安全箱的硬體裝置、智慧電表閘道和智慧卡/安全元件)的產品 為「含數位元素的關鍵產品」。委員會採用相關委託行為後,這些產品須取得保證等級 不低於「充分」的歐洲網路安全證書。在此之前,須按B+C模組或H模組進行合格評定。

Art. 8(1)Art. 32(4)
Manufacturer
OBL-ART13-01Binding

確保產品在整個生命週期內的安全(安全設計)

製造商必須設計、開發和生產含數位元素之產品,以基於風險提供適當的網路安全等級。 安全性必須在產品的整個生命週期內得到保障——從設計到廢置。

Art. 13(1)Art. 13(2)
Manufacturer
OBL-ART13-02Binding

在投放市場前進行網路安全風險評估

在將含數位元素之產品投放市場前,製造商必須對該產品相關的網路安全風險進行評估。 風險評估必須為產品的設計、開發和生產提供依據,並必須作為技術文件的一部分加以記錄。

Art. 13(2)
Manufacturer
OBL-ART13-03Binding

編制並維護技術文件(附件VII)

製造商必須編制技術文件,其中包含證明產品符合CRA基本要求所需的全部資訊。 該文件必須保持最新狀態,並自投放市場之日起保存十年(若產品預期使用壽命更長則以較長者為準)。

Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding

完成適用的合格評鑑程序

製造商必須使用適合其產品類別的程序來證明符合性。預設產品可自行認證(模組A)。重要第I類 產品在適用協調標準時可自行認證;否則必須引入公告機構。重要第II類和關鍵產品始終需要公告 機構參與。

Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding

對軟體元件進行盡職調查(SBOM及供應鏈)

若含數位元素之產品中包含的軟體元件並非由製造商開發,製造商必須進行適當的盡職調查, 確保該元件不會危害產品的安全性。必須編制並維護軟體物料清單(SBOM)作為技術文件的一部分。

Art. 13(5)
Manufacturer
OBL-ART13-06Binding

確保投放市場時不存在已知可利用的漏洞

在將含數位元素之產品投放市場時,製造商必須確保產品不含任何已知可利用的漏洞。此義務 適用於分發時以及此後發布的每個更新。

Art. 13(6)
Manufacturer
OBL-ART13-07Binding

建立並公布協調漏洞揭露(CVD)政策

製造商必須制定協調漏洞揭露(CVD)政策並使其可公開取得。該政策必須提供回報漏洞的 聯絡點,並說明製造商將如何處理回報,包括確認時間表及在公開修復前與研究人員協調揭露的 流程。

Art. 13(7)
Manufacturer
OBL-ART13-08Binding

申報並揭露產品支援期間

製造商必須申報其產品的支援期間,並在購買前向使用者提供該資訊。支援期間必須至少 五年,除非產品的預期使用期間較短。支援期間結束日期必須出現在產品文件和銷售點中。

Art. 13(8)
Manufacturer
OBL-ART13-09Binding

在支援期間提供安全更新

製造商必須在至少五年內(若預期使用期間較短則以較短者為準)免費提供安全更新。 更新必須及時交付,與功能更新分開,並且必須揭露支援期間結束日期。

Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding

在整個支援期間處理並修復漏洞

製造商必須具備在整個支援期間識別、分析和處理其產品漏洞的流程。附件I第II部分規定了 詳細要求,包括CVE分配、CVSS評分、協調揭露和及時修復。

Art. 13(10)
Manufacturer
OBL-ART13-11Binding

起草歐盟符合性聲明(EU DoC)

製造商必須依據第28條和附件V起草歐盟符合性聲明,聲明產品符合所有適用的CRA要求。 歐盟符合性聲明必須保持最新狀態,並供市場監管機關以及視情況供使用者查閱。

Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding

在產品上貼附CE標誌

製造商必須在將產品投放歐盟市場前在其上貼附CE標誌,作為產品符合所有適用CRA要求的 證明。CE標誌必須清晰可見、易於辨讀且不可磨滅,並且必須在起草歐盟符合性聲明之後才能 貼附。

Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding

確保產品可被唯一識別(序列化)

製造商必須確保每個含數位元素之產品都帶有型號、批號、序號或其他允許識別的要素。 對於純軟體產品,版本號用於此目的。

Art. 13(14)
Manufacturer
OBL-ART13-14Binding

在產品上標示製造商聯絡資訊

製造商必須在產品或其包裝上標示其名稱、已登記商號或商標,以及郵寄地址。如有的話, 也必須標示電子聯絡地址(網站或電子郵件)。這使市場監管機關、進口商、經銷商和使用者 能夠聯絡製造商。

Art. 13(15)
Manufacturer
OBL-ART13-15Binding

向使用者提供說明與資訊(附件II)

製造商必須以使用者易於理解的語言,隨產品附上附件II所列的資訊和說明。這包括產品 識別碼、安全功能、回報漏洞的聯絡方式、支援期間結束日期以及安全使用指引。

Art. 13(16)
Manufacturer
OBL-ART13-16Binding

採取矯正措施並配合市場監管

若製造商有理由認為其投放市場的產品不符合CRA要求,必須立即採取矯正措施——包括必要時 撤市或召回。製造商還必須配合市場監管機關,並提供所要求的全部資訊和文件。

Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding

向ENISA報告遭主動利用的漏洞及事件

製造商必須在24小時內(早期預警)和72小時內(通知)通過單一申報平台向ENISA報告其產品 中任何遭主動利用的漏洞。最終報告須在14天內提交。此義務自2026年9月11日起適用。

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

在72小時內向ENISA提交詳細漏洞通知

在得知產品中存在遭主動利用的漏洞後72小時內,製造商必須通過單一申報平台向ENISA提交 詳細漏洞通知。這是在24小時早期預警(OBL-ART14-01)之後的步驟,必須包含有關漏洞和 受影響產品的技術詳情。

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

在14天內向ENISA提交漏洞最終報告

在得知遭主動利用的漏洞後14天內,製造商必須向ENISA提交最終報告,其中包含漏洞的完整 說明、已採取的矯正措施,以及漏洞是否已公開揭露或已分配CVE的資訊。

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

即時通知使用者遭主動利用的漏洞

當漏洞遭主動利用時,製造商必須無不當延遲地通知受影響的使用者。通知必須包含足夠的 資訊,使使用者能夠採取保護措施,包括在修補程式發布前可採用的緩解措施。

Art. 14(4)
Manufacturer
OBL-ART18-01Binding

確保授權代表的授權書涵蓋法定最低任務

製造商可透過書面授權書指定授權代表(AR)。授權書須使AR至少能夠履行三項法定 最低任務:將歐盟合格聲明和技術文件保存至少10年供市場監督機構查閱;應要求 提供合格資訊;配合糾正措施。與設計和生產相關的核心義務不得委託。

Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART19-01Binding

在投放歐盟市場前核實產品符合性

在將含數位元素之產品投放歐盟市場前,進口商必須核實製造商已進行適當的合格評鑑、 編制技術文件、貼附CE標誌,並已備妥歐盟符合性聲明或性能聲明。

Art. 19(1)
Importer
OBL-ART19-02Binding

不得將不符合規定的產品投放市場

若進口商認為或有理由相信含數位元素之產品不符合基本網路安全要求,進口商不得將該產品 投放市場,直至符合性達成為止。

Art. 19(2)
Importer
OBL-ART19-03Binding

在產品上標示進口商聯絡詳情

進口商必須在產品本身、其包裝或隨附文件中標示其名稱、已登記商號或商標、郵寄地址, 以及如有的話的網站或電子郵件地址。

Art. 19(3)
Importer
OBL-ART19-04Binding

確保安全的儲存和運輸條件

在含數位元素之產品處於進口商責任範圍內時,進口商必須確保儲存和運輸條件不會危害 其符合基本網路安全要求的符合性。

Art. 19(4)
Importer
OBL-ART19-05Binding

採取矯正措施並報告重大網路安全風險

若進口商得知其已投放市場的產品不符合規定,必須立即採取矯正措施——必要時包括撤市或 召回。若產品構成重大網路安全風險,進口商必須立即通知相關國家主管機關。

Art. 19(5)
Importer
OBL-ART19-06Binding

保存文件10年

進口商必須在產品投放市場後10年內保存歐盟符合性聲明或性能聲明的副本,並確保技術文件 可應市場監管機關的要求提供。

Art. 19(6)
Importer
OBL-ART19-07Binding

配合市場監管機關

應主管機關的合理請求,進口商必須提供以紙本或電子形式的所有必要資訊和文件,以證明 含數位元素之產品的符合性。他們還必須配合所要求的任何矯正行動。

Art. 19(7)
Importer
OBL-ART20-01Binding

在投放市場前核實產品符合性

在市場上提供含數位元素之產品時,經銷商必須謹慎行事,核實產品帶有CE標誌,附有所需 文件和資訊,且製造商和進口商(如適用)已遵守其標示和識別義務。

Art. 20(1)
Distributor
OBL-ART20-02Binding

不得使不符合規定的產品在市場上流通

若經銷商認為或有理由相信產品不符合CRA的基本要求,經銷商不得使該產品在市場上流通, 直至符合性達成為止,並必須通知製造商以及視情況通知市場監管機關。

Art. 20(2)
Distributor
OBL-ART20-03Binding

確保安全的儲存和運輸條件

經銷商必須確保,在含數位元素之產品處於其責任範圍內時,儲存和運輸條件不會危害其 符合基本網路安全要求的符合性。

Art. 20(3)
Distributor
OBL-ART20-04Binding

採取矯正措施並報告重大網路安全風險

若經銷商得知其已在市場上提供的產品不符合規定,必須立即採取矯正措施,必要時包括撤市 或召回。若產品構成重大網路安全風險,必須立即通知相關國家市場監管機關。

Art. 20(4)
Distributor
OBL-ART20-05Binding

配合市場監管機關

應主管機關的合理請求,經銷商必須提供証明產品符合性所需的所有資訊和文件,並配合該 機關要求的任何矯正行動。

Art. 20(5)
Distributor
OBL-ART22-01Binding

對產品進行實質性改造並將其投放市場的任何人將成為製造商

除原製造商、進口商或經銷商以外的任何自然人或法人,若對產品進行實質性改造並 將其投放市場,即被視為製造商。該人須就受改造影響的產品部分,或若改造影響整個 產品的網路安全則就整個產品,遵守第13條和第14條。

Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding

維護供應鏈可追溯性記錄並應要求提供

所有經濟經營者須能夠應市場監督機構要求,識別 (a) 向其供應產品的任何經濟經營者, 以及 (b) 其向其供應產品的任何經濟經營者。記錄須從每次交易起保存10年。

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding

為開源軟體建立並記錄網路安全政策

開源軟體管理者必須制定並記錄網路安全政策,以促進安全產品的開發,並能夠對其支援的 開源軟體元件中的漏洞進行有效處理。

Art. 24(1)
Open-source steward
OBL-ART24-02Binding

通報遭主動利用的漏洞及嚴重事件

開源軟體管理者必須無不當延遲地向被指定為協調員的相關CSIRT通知其開源軟體元件中任何 遭主動利用的漏洞,以及影響這些元件安全性的任何嚴重事件。

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

配合市場監管機關

開源軟體管理者必須應要求配合市場監管機關,並提供其履行監管職責所需的所有資訊。

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

應要求編制技術文件

應市場監管機關的要求,開源軟體管理者必須為其管理的開源軟體元件編制並保持最新的 技術文件,以足以評估網路安全合規性。

Art. 24(4)
Open-source steward
OBL-ART28-01Binding

起草包含所有必要資訊的歐盟合格聲明

製造商須按照附件V的範本結構起草包含所有規定要素的歐盟合格聲明(EU DoC)。歐盟 合格聲明聲明產品符合適用的基本網路安全要求。簡化版(附件VI)可隨附產品,但 完整DoC須可在線取得。發生相關變更時須更新DoC。

Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding

起草並維護包含附件VII所有要素的技術文件

製造商須在產品投放市場前起草技術文件,並持續更新(至少在支援期內)。文件須 包含附件VII列出的所有要素,證明產品及製造商流程如何滿足附件I的基本網路安全 要求。須保持可供市場監督機構查閱至少10年或支援期。

Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding

在將產品投放市場前選擇並完成正確的合格評定程序

製造商須在產品投放市場前進行合格評定,證明產品和製造商的流程均滿足附件I的 基本要求。所需程序取決於產品分類:標準產品採用A模組(自我評定),某些情況下 重要產品須第三方評定,第II類重要產品和關鍵產品須強制參與公告機構。

Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer
Obligations library — CRA 合規中心