歐盟CRA強制執行倒數！ 叡揚資訊攜專家助台灣產業迎戰國際法規

隨著全球資安法規加速落地，產品安全已不再是單一產業的議題，而是所有含數位元件的產品與服務共同面臨的國際挑戰。歐盟議會通過投票正式批准了「歐盟網路韌性法案」(Cyber Resilience Act, CRA) 已於2024年12月生效，並將在2027年全面強制執行。該法案要求所有含數位元件的軟硬體製造商必須在產品生命週期中持續落實SSDLC（Secure Software Development Life Cycle）導向的安全管理，確保從設計、開發、部署到維護全程具備可追溯、可稽核的資安控制。不僅不得出現已知可利用漏洞，一旦發現重大漏洞，製造商需24小時內進行通報，並在 14 天內完成修補並送交初步補救報告 ，後續也需於一個月內向主管機關提交完整補救報告，未能遵循者將面臨最高可達全球營收2.5%的巨額罰款。

為協助台灣產業掌握國際法規趨勢並提前布局，叡揚資訊於今年8月曾舉辦「產業升級×接軌國際：製造業軟體安全開發高峰會」，會中特別邀請專注在C語言檢測的CodeSonar副總裁Mark Hermeling來台深入解析CRA帶來的衝擊，並展示如何透過深度靜態分析，在C語言與嵌入式系統開發早期就能發現傳統檢測難以捕捉的高風險弱點。值得一提的是，CodeSonar的開發商CodeSecure已於2025年6月與AdaCore正式合併，共同致力於提供更全面的嵌入式軟體安全與高可靠性解決方案，助力關鍵產業面對日益嚴峻的資安法規與挑戰。

延續叡揚資訊長期推動軟體安全領域的投入，日前叡揚資訊亦攜手財團法人資訊工業策進會資安科技研究所、台灣區電機電子工業同業公會與各界專家，於11月27日舉辦「因應歐盟韌性法案（CRA）跨足歐盟市場研討會」，共同探討歐盟國際法規對產品生命週期、軟體供應鏈治理與跨國市場競爭力的影響，並提出符合國際標準的實務對策。

面對CRA法規所要求的「安全設計」、「持續弱點管理」與「可稽核證據」等義務，叡揚資訊強調，企業需要的並非更多工具，而是能真正讓安全流程落地的能力。此外，完善的 SBOM（Software Bill of Materials）與元件治理同樣至關重要，透過完整的元件清冊與版本追蹤，企業才能在漏洞公告發布時快速掌握受影響範圍、採取修補行動，並生成可供稽核的合規證據，這也使SBOM成為協助企業提升產品生命週期透明度、回應國際法規要求的重要基礎。

隨著CRA、UNECE R155/R156與全球多國法規相繼上路，全球產業正在邁入「軟體安全即產品品質」的新時代。叡揚資訊專注於軟體技術與應用服務已逾30年，在資安領域累積超過20年的實務經驗，憑藉在安全軟體開發生命週期（SSDLC）、零信任架構與供應鏈安全上的深厚實務經驗，協助企業從設計、開發、測試到部署與維運，都能以國際法規為基準建立完整的安全治理體系，協助企業建立符合CRA要求的證據鏈，從弱點管理、SBOM更新、DevSecOps流程到執行期防護與雲端態勢管理，轉化成企業日常可運作、可延續的能力。