(持續更新中) EU CRA 的通報義務將自 2026 年 9 月 11 日開始適用。製造商若知悉產品存在「已被惡意利用的漏洞」,或發生「對產品安全性造成嚴重影響的事故」,就可能需要依 Article 14 進行通報。本文將整理漏洞通報與事故通報的判斷、時限與準備重點,以及 ENISA 單一通報平台在實務上的角色與準備重點。
漏洞與事故通報總整理
EU CRA 即將要求製造商,執行一項關鍵的義務:漏洞通報 與 事故通報。
製造商如果知悉其產品中存在特定類型的問題,就可能需要依照 EU CRA Article 14 進行通報。
但這裡有一個常見誤解:
- 不是所有漏洞都要通報。
- 不是所有資安事故都要通報。
EU CRA Article 14 真正要求強制通報的,主要是兩類情況:
- 已被積極利用的漏洞
(Actively Exploited Vulnerability, AEV) - 對產品安全造成影響的重大資安事故
(Severe Incident Having an Impact on the Security of the Product)
法規適用:2026 年 9 月 11 日
EU CRA 的完整法規要求,將自 2027 年 12 月 11 日開始全面適用。
但是,Article 14 的通報義務會更早開始,也就是:2026 年 9 月 11 日
這代表製造商在完整合規期限到來之前,就必須先具備漏洞通報與事故通報能力。
因為從 2026 年 9 月 11 日起,只要發生符合條件的漏洞或事故,製造商就需要依規定進行通報。
通報時限:24 小時、72 小時與最終報告
EU CRA Article 14 的通報不是一次完成,而是分階段進行。
24 小時內:早期示警 (Early Warning)
製造商知悉 已被積極利用的漏洞(AEV) 或 重大資安事故 (Severe incident) 後,
必須在 24 小時內提出早期示警。
這個階段不是要求企業,進行完整根因分析(Root cause analysis),
而是讓相關主管機關與 CSIRT 及早知道可能存在重大風險。
72 小時內:正式通知
在完成24小時的早期示警之後,製造商應該進一步判斷受影響產品資訊、漏洞的性質、可採取的修正或緩解措施(包含給使用者)以及影響之判斷。
並於知悉 已被積極利用的漏洞(AEV) 或 重大資安事故 (Severe incident) 的 72 小時內,提供更完整的資訊。
最終報告(Final Report)
最終報告(Final Report)的時限,依通報類型不同而不同。
- 如果是 已被積極利用的漏洞(AEV):
最終報告應在漏洞修正或緩解措施可用後的14 天內提交。 - 如果是 重大資安事故(Severe incident):
最終報告應在 72小時事故通知後的 1 個月內提交。
漏洞通報與事故通報的差異(總整理)
| 項目 | 已被積極利用的漏洞 (AEV) | 重大資安事故 (Severe incident) |
| 核心問題 | 漏洞已被惡意利用 | 事故嚴重影響產品安全 |
| 通報平台 | ENISA 單一通報平台 | ENISA 單一通報平台 |
| 第一階段時限 | 知悉後 24 小時內 | 知悉後 24 小時內 |
| 第二階段時限 | 知悉後 72 小時內 | 知悉後 72 小時內 |
| 第三階段時限 (最終報告) | 修正或緩解措施可用後 14 天內 | 72 小時通報後 1 個月內 |
通報方式:透過 ENISA 單一通報平台
不論是通報「已被積極利用的漏洞」或「重大資安事故」,
製造商都必須透過EU CRA 第 16 條所建立的單一通報平台來通報。
筆者備註:
(Article 14, Paragraph 1)
製造商在獲悉具有數位元件之產品中存在任何已被積極利用的漏洞時,應同時向被指定為協調小組的電腦安全事件應變小組(CSIRT)……以及歐盟網路安全局(ENISA)進行通報。製造商應透過依據第 16 條所建立的單一通報平台通報該已被積極利用之漏洞。
(Article 14, Paragraph 3)
製造商在獲悉任何影響具有數位元素產品安全之重大資安事故時,應同時向被指定為協調小組的電腦安全事件應變小組(CSIRT)……以及歐盟網路安全局(ENISA)進行通報。製造商應透過依據第 16 條所建立的單一通報平台通報該資安事件。
ENISA 單一通報平台(Single Reporting Platform, SRP)
單一通報平台 (Single Reporting Platform, SRP) 是 由 ENISA 建立、管理與維運。
它的目的,是讓製造商在發生特定資安事故或漏洞情境時,可以透過單一平台完成通報,而不是分別向不同會員國、不同 CSIRT 或不同主管機關重複通報。
簡單來說,SRP 是 EU CRA 下「強制通報」與「自願通報」的重要入口。
ENISA 表示:將於 2026 年 6 月提供平台存取與註冊說明,並隨附培訓及模擬演練的支援教材,因此具體的註冊機制目前仍陸續發布中。
SRP 何時開始適用?
ENISA 官方的說法是:SRP 預計於 2026 年 9 月 11 日開始運作。
這個日期與 EU CRA Article 14 的通報義務,正式適用,同一天。
因此,建議不要等到需要通報才開始研究,而是應該在平台正式上線前,就先完成內部準備。
誰需要準備 SRP 通報?
SRP 強制通報義務主要落在「製造商」身上;也就是說,EU CRA Article 14 下的通報義務,是由具數位元件之產品(Products with digital elements) 的 製造商 所負責。
如果是「進口商」或「經銷商」呢?
通常,「進口商」或「經銷商」發現漏洞或相關資安問題,他們的責任通常是通知製造商,而不是直接取代製造商向 SRP 提交通報。因此,主要的通報責任仍落在製造商身上。
筆者備註:
關於「製造商」的定義,請參閱
指任何開發或製造具有數位元件產品之自然人或法人;或使具有數位元件之產品被設計、開發或製造,並以其自身姓名或商標 將該產品投放於市場進行銷售者,無論是收取費用或免費提供。
原文定義如下:
‘manufacturer’ means any natural or legal person who develops or manufactures products with digital elements or has products with digital elements designed, developed or manufactured, and markets them under their name or trademark, whether for a fee or free of charge;
筆者備註:
對於「非歐盟製造商」來說,情況會更複雜。
如果製造商在歐盟沒有主要設立地,則需要確認:
* 是否有授權代表(authorised representative);
* 授權代表(authorised representative)的書面授權是否涵蓋通報任務;
* 若沒有授權代表,是否需要透過進口商、分銷商或其他規則確認通報路徑。
因此,非歐盟製造商應特別注意授權代表與歐盟市場鏈中的角色安排,
避免發生事件時找不到正確的通報責任與通報路徑。
SRP 註冊前,企業應先準備什麼?
雖然 ENISA 的正式註冊畫面與操作細節仍需等待官方文件,
但製造商現在就可以先準備以下資料:
1. 法律實體資訊
企業需要確認負責 EU CRA 通報的法律實體。
這會影響 Coordinator CSIRT 的判斷,尤其是「主要設立地」的判斷。
2. 使用者單一聯絡窗口
製造商提供一個(或多個)專用窗口供使用者回報漏洞或事故。
該窗口不得僅流於完全自動化的回覆工具或無人管理的閒置信箱,而必須具備實際接收、評估並處理漏洞回報的實質運作能力。
筆者備註:
聯絡方式 與 聯絡方式,必須跟製造商的 漏洞通報機制 和 漏洞接露機制 保持一致。
3. 主管機關與 CSIRT 聯絡窗口
製造商應針對主管機關與CSIRT建立專用的通報窗口,用以接收漏洞或資安事故通報。
為確保溝通效率與機密性,此官方對接窗口應與一般使用者通報管道獨立分開管理。
筆者備註:
* 使用者窗口:專供客戶、資安研究人員或外部通報者使用。
* 官方對接窗口:專供歐盟網路安全局(ENISA)及 CSIRT 直接聯繫製造商內部團隊。
4. 產品清單與市場資訊
製造商必須掌握以下關鍵資訊:
- 哪些產品屬於「具數位元件之產品(Products with Digital Elements)」
- 各產品目前在哪些「歐盟會員國(EU Member States)」上市與銷售
- 產品版本、安全支援生命周期及相關核心組件
- 是否包含第三方組件、開源軟體(OSS)或存在其他供應鏈依賴關係
筆者備註:
如果沒有清楚的產品清單,企業在 24 小時內要判斷受影響會員國與受影響產品,會非常困難。
5. 內部事態升級程序
企業應建立書面程序,明確定義問題從接收、初步評鑑、分類、審查、通報、等步驟;值得一提的是,該程序也要考慮非上班時間與假日的因應策略;
漏洞通報與事故通報 怎麼做?
為了滿足 EU CRA Article 14 的要求,企業真正需要建立的能力,不只是「發現漏洞後趕快通報」,,而是要能夠在有限時間內,透過明確流程完成判斷、升級、通報與後續追蹤。
以下可以作為企業建立 EU CRA 通報流程時的實作步驟。
1. 確認是否屬於 EU CRA 所規範之製造商
第一步,企業需要先確認自己是否屬於 EU CRA 下的製造商角色。
如果企業是將 具數位元件之產品(Products with digital elements)以自身名稱或商標投放市場,通常就可能被視為製造商,並承擔 EU CRA 的產品安全與通報義務。
若企業位於歐盟以外,則必須進一步釐清並落實「授權代表(Authorised Representative)」、「進口商(Importer)」與「分銷商(Distributor)」等市場鏈角色的權責劃分,以確保資安事件發生時,能立即啟動正確的通報路徑與責任歸屬。
2. 確認是否已建立內部通報流程
通報義務不能只靠臨時會議決定。
企業應建立明確的內部流程,規範資安問題從接收、初步分類、技術分析、產品影響判斷、法務確認,到是否通報的決策方式。
這個流程應能區分常見問題,避免所有問題都被混在一起處理。
3. 確認流程是否支援假日、夜間與跨部門快速決策
EU CRA 的 24 小時與 72 小時時限,不會因為週末、假日或內部會議尚未召開而暫停。
因此,企業需要確認內部流程是否具備值班、代理人、緊急升級與快速核准機制。
尤其當事件涉及產品團隊、資安團隊、法務、管理階層、客服與對外溝通時,流程必須能支援跨部門快速協作,而不是等待所有單位完成完整分析後才開始行動。
4. 透過流程判斷:這是不是 EU CRA 範圍內的產品?
不是所有產品都會落入 EU CRA 範圍。
企業需要確認受影響產品是否屬於 具有數位元件之產品,並能直接或間接與其他設備或網路交換數位資料。
如果事件或漏洞只影響非 EU CRA 範圍內的產品,可能不會觸發 Article 14 的通報義務;但企業仍應保存判斷理由與紀錄。
5. 透過流程判斷:這是不是已被積極利用的漏洞?
EU CRA 要求通報的不是所有漏洞,而是 已被積極利用的漏洞(Actively exploited vulnerability)
因此,企業需要判斷:
- 產品是否真的存在漏洞?
- 該漏洞是否存在於自己的產品中?
- 是否有可靠證據顯示該漏洞已被惡意行為者利用?
如果只是高風險漏洞、PoC 已公開、研究人員回報,或第三方組件有漏洞,但尚未確認已被惡意利用,通常還需要進一步分析,不能直接等同於 AEV。
6. 透過流程判斷:這是不是重大資安事故?
除了 AEV,EU CRA 也要求製造商通報對產品安全性造成嚴重影響的資安事故。
企業應判斷事故是否影響產品保護資料或功能的能力,例如:可用性、驗證性、完整性、機密性。
若事故導致產品安全機制失效、更新機制遭竄改、惡意程式被導入產品,或使用者環境可能受到嚴重影響,就需要進一步評估是否構成重大資安事故。
7. 透過流程判斷:是否需要透過 ENISA 單一通報平台通報?
如果經判斷屬於 已被積極利用的漏洞 或 重大資安事故,製造商就應依 EU CRA Article 14 透過 ENISA 單一通報平台 進行通報。
ENISA 單一通報平台不是單純的技術表單,而是 EU CRA 下正式的通報入口,用來將資訊提供給 ENISA 與相關 coordinator CSIRT。
企業應事先確認誰負責提交、誰負責審查內容、誰負責補充後續資訊,以及如何保存通報紀錄。
8. 準備 24 小時與 72 小時及後續最終報告的內容
企業應提前準備通報範本,而不是等事件發生後才開始整理。
24 小時內的早期示警,重點是讓 ENISA 與 CSIRT 及早知道可能存在重大風險,因此不要求完整根因分析,但應提供初步判斷、受影響產品、事件類型、已知影響與資訊敏感性。
72 小時內的正式通知,則需要提供更完整的產品資訊、漏洞或事故描述、初步評估、已採取或預計採取的緩解措施,以及使用者可採取的行動。
後續若有修正措施、根因分析或影響範圍更新,也應依規定提交最終報告或補充資訊。
漏洞通報與事故通報 常見問題
筆者目前正在 LinkedIn 上持續整理與更新 EU CRA 相關 Q&A,內容涵蓋適用範圍、製造商義務、漏洞管理、事故通報、ENISA Single Reporting Platform(SRP)與實務準備重點。
若您對 EU CRA 議題有興趣,歡迎追蹤我的 LinkedIn:
也可以從以下連結查看我近期發布的 EU CRA 相關文章:
以下先整理幾個與「漏洞通報」及「事故通報」相關的常見問題。此段內容將持續更新。
Q1: 如果不是製造商,而是製造商的供應商,需要通報嗎?
原則上,EU CRA Article 14 的強制通報義務主要是由「製造商」負責。
但是,這不代表供應商完全沒有責任。實務上,仍需要依不同情境判斷。
情境一:如果組件是「單獨」在歐盟市場上銷售
結論:需要直接通報
原因:EU CRA 定義的「具有數位元件之產品」包含軟體、硬體產品,以及單獨投放市場的軟體或硬體組件。如果供應商將自己的軟體套件、韌體、微控制器、硬體模組或其他數位組件,以自己的名稱或商標單獨投放歐盟市場,該供應商就可能是該組件的製造商。
在這種情況下,如果該組件本身存在已被積極利用的漏洞,或發生對該組件安全性造成嚴重影響的事故,供應商就可能需要依 EU CRA Article 14 履行強制通報義務。
情況二:如果組件整合在「其他廠商的最終產品」中(純供應鏈角色)
結論:通常不是由供應商直接向歐盟主管機關進行強制通報,但供應商仍應及時通知客戶。
原因:如果供應商提供的組件,是被 B 廠商整合到最終產品中,並由 B 廠商以自己的名稱或商標投放歐盟市場,則 B 廠商通常會被視為該最終產品的製造商。在這種情況下,EU CRA Article 14 的強制通報義務,主要會落在 B 廠商身上。
不過,供應商仍然不能忽略自身責任。
因為最終產品製造商在整合第三方組件時,需要執行「盡職調查」,以確保產品中的漏洞,包括第三方組件漏洞,能被有效處理。
因此,實務上,B 廠商通常會透過採購合約、供應商資安要求、漏洞通報條款或產品安全協議,要求供應商在發現漏洞、資安事件或受影響組件時,必須立即通知 B 廠商。
筆者備註:
許多品牌廠,已經在跟供應商的合約中加入EU CRA的通報要求與規定,並且其中也都含有罰則轉嫁的相關描述,如果您是組件供應商,也需要特別注意!
情況三:自願性通報(Voluntary Reporting)
即使供應商本身沒有 Article 14 的強制通報義務,仍可考慮依 EU CRA Article 15 進行自願性通報。
EU CRA Article 15 允許製造商以及其他自然人或法人,自願通報:
- 產品中的漏洞;
- 可能影響產品風險狀態的網路威脅;
- 對產品安全性造成影響的事故;
- 可能導致此類事故的臨界事件(Near Misses)。
這類自願通報會依 Article 16 的 ENISA 單一通報平台 程序處理。
因此,如果供應商發現某個漏洞或資安事件可能影響 EU 市場上的 具數位元件之產品,即使自己不是最終產品製造商,也可以評估是否透過自願通報機制提供資訊。
不過,在實務上,供應商仍應優先並及時通知受影響的客戶或最終產品製造商,讓製造商能完成產品影響分析、使用者通知、修補措施與必要的 Article 14 強制通報。
Q2: ENISA 單一通報平台已經上線了嗎?
目前尚未正式上線。
「ENISA 單一通報平台」預計自 2026 年 9 月 11 日 開始運作。從這一天起,EU CRA 的通報義務也會開始適用,製造商需要能夠透過 SRP 通報已被積極利用的漏洞(Actively Exploited Vulnerability, AEV)與重大資安事故(Severe Incident)。
在 ENISA 正式發布完整註冊手冊、存取方式與操作說明前,企業仍應先完成內部準備,例如:產品清單、通報窗口、法律實體資訊與 24 小時升級流程。
筆者也會持續確認平台上線狀況,並持續更新本文
Q3:如果漏洞導致事故,需要通報「已被積極利用的漏洞」與「重大資安事故」嗎?
可能。
如果攻擊者先利用產品中的漏洞,再進一步造成產品事故,這種狀況將同時符合兩種通報路徑。
例如:
- 攻擊者利用產品漏洞攻擊使用者;
- 同時又透過該漏洞影響製造商的更新或發布機制;
- 進而使惡意程式可能被導入產品或使用者系統。
在這種情況下,企業可能需要分別提交「已被積極利用的漏洞」與「重大資安事故」的通報,而且兩者都可能從同一個知悉時間點開始計算 24 小時 早期示警。
(持續更新中)
