CRA 事件與漏洞通報

01須通報什麼

相關法規的 Art. 14 網路韌性法 為具有數位元素產品的製造商建立兩項不同的通報義務。這些義務比初看起來更為有限：常規錯誤及一般補丁不在範圍內。 Art. 14

• 主動被利用漏洞；指您產品中正遭攻擊利用的漏洞。您在漏洞被利用前即發現並修補的漏洞，透過您的一般 漏洞處理流程，而非本通報管道。
• 嚴重事件；指對產品安全造成嚴重影響的事件，例如損害使用者的機密性、完整性或可用性。

02三個截止期限

每份報告分三個階段進行，計時起點為您 獲悉 遭利用漏洞或嚴重事件的情況。時間窗口很短，這也是為何準備就緒比事發當日的流程更為重要。 Art. 14(2)–(4)

• 24 小時內早期預警。 關於主動被利用漏洞或嚴重事件發生的首次通知，包括是否懷疑係由非法或惡意行為所致。
• 72 小時內漏洞／事件通知。 更完整的說明，包括初步評估、嚴重程度及影響，以及在可取得的情況下已採取的矯正或緩解措施。
• 14 天內最終報告。 矯正措施可用後：對漏洞或事件的描述、其嚴重程度及影響，以及所採取的修復措施。對於事件，截止期限自事件處理完畢時起算。

03通報對象

通報對象為 ENISA 及向 指定為協調員的 CSIRT 向相關成員國通報。您無需分別聯繫各主管機關：CRA 建立了 單一通報平台，由 ENISA 建立並運營，作為所有通知的統一入口。 Art. 14 · 16

平台將每份通知轉送至相關國家 CSIRT，並在必要時轉送至其他主管機關。在有限情況下（例如披露會造成不相稱的網路安全風險），本法規允許限制通知範圍，但預設為透過平台進行全面且及時的通報。

04生效時間

通報義務是 CRA 最早生效的主要部分。雖然大多數條款自 2027 年 12 月 11 日起適用，Art. 14 自 2026 年 9 月 11 日；即本法令生效後 21 個月。單一通報平台預計於該日期前上線運作。 Art. 71

05如何做好準備

在 24 小時內完成通報是一個運作問題，而非文件問題。能夠達成的製造商，是那些早已掌握產品內容並持續監控的廠商。

• 維護準確的 SBOM；對於您不知道已出貨的元件，您無法進行通報。請維護軟體物料清單，並隨版本更新保持其現行狀態。
• 持續監控；將您的元件與已知漏洞來源進行比對，使遭主動利用的漏洞在數小時內（而非數週後）浮現。
• 事先定義流程；現在即決定由誰判定是否需要通報、由誰起草及由誰提交，以免時鐘在內部升報程序上空轉。
• 追蹤基礎要求； 符合性矩陣 將通報與其所屬的更廣泛 Annex I 漏洞處理義務相連結。

該 SBOM 與漏洞分析器 涵蓋前兩項：它將您的物料清單與 NVD 及 EU 漏洞資料庫（EUVD）進行比對，使遭主動利用的元件在 24 小時內被標記。

06常見問題