歐盟《網路韌性法案》（Cyber Resilience Act, CRA）已正式通過並採分階段實施，對所有在歐盟市場銷售、含數位元素的產品提出強制性的資安要求。製造商必須在產品整個生命週期中建立並執行有效的漏洞管理 (Vulnerability Management) 流程。根據CRA 規劃，漏洞通報義務將於 2026 年 9 月 11 日提前生效，而所有核心資安要求將於 2027 年 12 月 11 日全面強制適用。這代表建立符合 CRA 要求的漏洞管理機制已從過去的「加分項」，轉變成攸關企業是否能持續進入歐盟市場的基本門檻。換言之，企業真正能準備的時間，其實比想像中更有限。

 

CRA 在管什麼？為何漏洞管理是關鍵核心？

CRA 立法的目的在於透過規範，進一步強化數位設備與產品的整體資安防護水準，降低資安風險、減少供應鏈衝擊，同時保護製造商與終端使用者的利益。CRA 附錄 I（Annex I）之基本資安要求第二部分明確規範漏洞管理相關事項，包括 SBOM 軟體組成清單溯源、時限內修補漏洞、資安更新與修補程式發布、漏洞資訊同步揭露、協調式漏洞揭露（CVD）機制，以及產品全生命週期的安全支援責任。

 

CRA 合規：建構具回饋改善循環的雙軌品質系統

在眾多資安指引中，ISO/IEC 29147 與 ISO/IEC 30111 是最直接對應CRA 漏洞管理要求的國際標準。這兩項國際公認的漏洞管理核心標準，相互搭配，為企業提供了實務可行且完整的解決方案，形成從外部漏洞回報接收到內部修補處理與發布的完整閉環管理機制。實務上，這兩項標準通常建議一併導入與驗證，以確保企業在漏洞管理各環節皆有明確制度與可稽核證據。

 

• ISO/IEC 29147 (對外) : 著重於規範企業與外部漏洞回報者（如資安研究人員、客戶）之間的互動介面，確保漏洞接收與揭露流程具備透明性與一致性
• ISO/IEC 30111 (對內) : 聚焦於企業內部的漏洞處理流程，詳細規範漏洞的分析、風險評估、修補開發、測試與部署作業

 

企業導入兩個標準，可同時吸收外部資安情資、並能有效落實內部修補的完整能力。  ISO/IEC 29147 與 ISO/IEC 30111 的驗證流程並非僅止於文件審查，而是由經認可的第三方驗證機構進行現場稽核，以確保企業實際作業流程與制度設計相符。稽核範圍涵蓋從漏洞接收、驗證、分類、風險排序，到修補方案的開發、測試、部署，以及後續資訊揭露與事件回顧，確保整體流程是可運作的制度，而非流於形式文件。

 

TÜV 萊因 : CRA 合規與漏洞管理驗證夥伴

面對 CRA 即將全面實施的時程壓力，企業亟需具備法規與資安實務經驗的合作夥伴，協助快速完成從內部制度建置到對外合規證明的完整準備，這正是 TÜV 萊因所扮演的角色。TÜV 萊因作為全球領先的技術服務機構，憑藉在工業資安與產品網路安全領域的深厚經驗，提供 ISO/IEC 29147 與 ISO/IEC 30111 漏洞管理與揭露體系驗證服務，協助企業有系統地因應 CRA 合規挑戰。

 

• 權威驗證，國際認可

德國在資安法規與標準體系上具高度國際影響力，其驗證制度具備高度公信力。TÜV 萊因所核發之證書具國際認可度，可作為對應 CRA、RED、NIS2 等歐盟資安法規要求的重要佐證。

 

• 一站式合規支援

TÜV 萊因依據 ISO/IEC 29147、ISO/IEC 30111 等國際資安標準，提供涵蓋人員訓練、流程建置輔導與正式驗證，協助企業符合歐洲與北美市場的合規期待。

 

• 著重實務落地，而非流於型式

驗證過程包含實地稽核，確保企業漏洞管理流程實際運作，涵蓋漏洞接收、驗證、修補、發布與回顧等完整環節，真正提升組織的資安應變能力。

 

CRA 合規，其實也是一種競爭優勢

取得 ISO/IEC 29147 與 ISO/IEC 30111 驗證，不僅有助於滿足 CRA 對漏洞管理的合規要求，更能有效提升產品與品牌的資安信譽，強化企業在國際市場中的競爭力。

 

進一步資訊, 請聯絡工業服務與資訊安全部門/ 莊小姐　irene.chuang@tuv.com

 

同場加映:

歐盟網路韌性法案 CRA 將於 2027 年強制執行

從設計到維護：歐盟網路韌性法案 (CRA) 為數位產品安全設新標準