歐盟《網路韌性法案》今年9月施行,產品安全通報時限成法遵門檻,僅四分之一企業將SBOM驗證納入自動化
法案施行時間與影響範圍
歐盟《網路韌性法案》(Cyber Resilience Act, CRA)將於2027年全面施行,而非2026年9月,對準備在歐盟銷售含有軟體、韌體或連網功能產品的企業而言,產品安全已不只是開發流程中的技術問題,也直接牽動法規遵循能力。
企業法遵挑戰與產品安全機制
企業需盤點產品是否落入規範範圍,並重新檢視既有產品安全機制,以確保符合CRA要求的漏洞調查、限期通報與後續稽核。
SBOM自動化驗證現況
- 僅四分之一企業將軟體成分清單(SBOM)驗證納入自動化流程。
- SBOM的建立與驗證被視為關鍵法遵門檻,有助於提升產品安全透明度與供應鏈可追溯性。
相關治理與技術指引
法案要求硬體與軟體供應商落實「設計即安全」原則,並納入認證、授權與資料交換的真實性、完整性及可追溯性。
同時,報告也將歐盟《網路韌性法》與BSI技術指引納入治理基礎,強化產品資安責任鏈。