(持續更新 2026/7/13) EU CRA 適用哪些產品?本文整理硬體、軟體、元件、連網產品、B2B、自用、FOSS及排除情形等常見問題,協助企業初步判斷產品是否落入 EU CRA的適用範圍。
EU CRA 適用哪些產品?
這個問題,看似簡單,實際判斷時,似乎又挺複雜的。
先來看看定義:
EU CRA 主要規範的對象,是在歐盟市場上提供的「具數位元素之產品(Products with Digital Elements)」,包括硬體、軟體,以及單獨投放市場的軟體或硬體組件。
簡單來說,產品需要同時滿足三個條件,才會被歸類在EU CRA的適用範圍:
- 屬於「具數位元素之產品」
- 提供至歐盟市場
- 產品的用途,會直接或間接、以邏輯或實體方式,與其他裝置或網路進行資料連接。
筆者註記:產品的用途
上述內容是為了簡化描述,關於EU CRA所提及的產品用途,可以分為兩類:
* 預定用途(Intended Purpose)
簡單來說就是:製造商原本規劃、設計或宣稱的產品用途。
通常可以從產品說明書、操作手冊、技術文件、產品規格、網站介紹或行銷資料中確認。例如:製造商宣稱智慧手錶可與手機 App 同步健康資料,這個連線同步資料的功能,就是「產品的預定用途」。
* 可合理預見的使用方式(Reasonably Foreseeable Use)
簡單來說就是:即使製造商沒有明確宣稱,但依照產品的設計、功能、使用環境及一般使用習慣,可以合理預期使用者會這樣使用產品。
值得注意的是,這不代表任何 「不正常」或「刻意濫用」的情況都要納入,而是指製造商在合理情況下,應該能預見的使用方式。
例如:產品提供藍牙、Wi-Fi、USB 或網路介面,即使說明書沒有詳細描述所有連線情境,若使用者通常會透過這些介面與其他裝置交換資料,仍可能被視為「可合理預見的使用方式」。
EU CRA :有關「範圍」的基本問題
以下,筆者整理EU CRA法規的定義,列出跟EU CRA範圍有關的問題。
Q1: 什麼產品屬於「具數位元素之產品」?
首先,要確認評估對象是否符合 EU CRA 對「具數位元素之產品」的定義。
這類產品可能包括:
- 軟體產品
- 硬體產品
- 單獨投放市場的軟體元件
- 單獨投放市場的硬體元件
- 符合法規定義的遠端資料處理解決方案
EU CRA 所稱的硬體,是指能夠處理、儲存或傳輸數位資料的實體電子資訊系統或其部分;元件則是指預定整合至電子資訊系統中的軟體或硬體。
不只有完整設備才需要評估
具數位元素之產品不只包含完整的終端設備,下列產品也可能符合其定義:
- 可下載並安裝的應用程式或獨立軟體
- 單獨提供、預定整合至設備中的韌體或軟體
- 與硬體一同提供的作業系統、驅動程式或開發工具
- 積體電路、主機板、感測器等硬體元件
- 智慧型手機、筆記型電腦及智慧家電
- 工業物聯網設備及具有數位功能的機械設備。
因此,不能只針對最終完成的設備進行 EU CRA 評估。單獨提供至市場的軟體、韌體、函式庫、晶片、感測器或其他硬體元件,也可能需要進一步判斷。
符合上述定義,不代表一定適用 EU CRA
確認產品符合「具數位元素之產品」的定義後,仍需要繼續判斷:
* 是否投放或提供至歐盟市場;
* 預期用途或可合理預見的使用方式,是否包含與設備或網路建立直接或間接的資料連線;
* 是否屬於 EU CRA 明文排除或受其他特定歐盟法規規範的產品。
請參考以下...Q2、Q3、...
法規參考:
EU CRA Article 2:適用範圍
EU CRA Article 3(1):具數位元素之產品
EU CRA Article 3(2):遠端資料處理
EU CRA Article 3(4):軟體
EU CRA Article 3(5):硬體
EU CRA Article 3(6):元件
Q2: 產品是否提供至歐盟市場?
EU CRA 是歐盟的產品法規,因此適用於當產品提供至歐盟市場的情境。
依據 EU CRA Article 3 之定義:
- 投放市場(Placing on the Market):產品第一次在歐盟市場被提供。
- 提供至市場(Making Available on the Market):在商業活動中,將產品提供於歐盟市場進行流通或使用,不論是收費或免費。
下列的幾種情況,都可能屬於提供至歐盟市場:
- 直接銷售給歐盟消費者;
- 提供給歐盟境內的企業客戶;
- 透過進口商、經銷商或線上平台提供;
- 在商業活動中免費提供軟體或產品;
- 將軟體、韌體或硬體元件,單獨提供給其他企業整合使用。
產品在哪裡開發或製造,通常不是關鍵;產品是否在商業活動中被提供至歐盟市場,才是 EU CRA 適用範圍的重要判斷條件。
筆者註記:開發地點或製造地點不是主要判斷依據
盤點產品時,不能只看產品的製造地點。
真正需要確認的是:
* 產品是否提供至歐盟市場;
* 是第一次投放市場,還是後續由經銷商提供;
* 是完整產品,還是單獨提供的軟體、韌體或硬體元件;
* 產品是在商業活動中提供,還是僅供企業自身內部使用;
* 由誰以自己的名稱或商標將產品提供至市場。
EU CRA 所稱的「製造商」,不一定是實際執行生產或程式開發的單位,也可能是委託他人設計、開發或製造,並以自己的名稱或商標銷售產品的企業。
此外,如果 進口商 或 經銷商 改以自己的名稱或商標投放產品,依據 Article 21,其可能被視為製造商,並承擔相應義務。
如果企業為自身使用而開發的產品,並未提供至歐盟市場,通常不會落入 EU CRA 的適用範圍。
例如:企業自行開發並僅供內部使用的工具,就不在 EU CRA 範圍內;但若之後將該工具作為獨立產品提供至市場,則需要重新評估。
法規參考:
EU CRA Article 3(13):Manufacturer
EU CRA Article 3(21):Placing on the Market
EU CRA Article 3(22):Making Available on the Market
EU CRA Article 21:進口商及經銷商被視為製造商的情況
Q3: 產品用途是否包含資料連接?
EU CRA 適用範圍的第三個條件,是確認產品的用途,是否包含與其他裝置或網路建立資料連接。
這裡所稱的資料連接,不只包括一般理解的網際網路、Wi-Fi、行動網路或雲端連線;EU CRA Article 3 進一步定義不同的連接方式:
- 邏輯連接 Article 3(8):透過軟體介面建立的資料連接。例如: API、Socket、Pipe、檔案或其他軟體介面。
- 實體連接 Article 3(9):透過電氣、光學或機械介面、線材或無線電波建立的連接。例如:USB、Ethernet、光纖或銅線、PROFIBUS 等工業通訊線路、Wi-Fi、Bluetooth、NFC、等…。
- 間接連接 Article 3(10):產品本身不是直接連接裝置或網路,而是作為較大系統的一部分,透過該系統建立連接。
為什麼要考慮這些連接的方式呢?
EU CRA Recital 9 特別說明,即使產品只與其他裝置或網路間接連接,仍可能成為攻擊者進入較大型系統的途徑。
因此,產品沒有連接網際網路、 Wi-Fi、行動網路或雲端功能,仍存在風險,所以也都被劃入EU CRA的適用範圍。
企業需要注意什麼?
企業在判斷產品是否具有資料連接時,不應只確認產品是否可以連上網際網路,也不能只查看產品是否具有 Wi-Fi 或雲端功能。
建議進一步盤點:
- 產品是否具有 USB、Ethernet 或其他通訊介面;
- 是否使用 Bluetooth、NFC 或其他無線通訊;
- 是否透過工業通訊協定與控制器或其他設備交換資料;
- 是否透過檔案、API、Socket 或其他軟體介面交換資料;
- 是否安裝或整合在可連線的主機、作業系統或設備中;
- 產品的用途,是否包含上述連接方式。
法規參考:
EU CRA Article 2(1):適用範圍
EU CRA Article 3(8):Logical connection
EU CRA Article 3(9):Physical connection
EU CRA Article 3(10):Indirect connection
EU CRA Recital 9:實體、邏輯及間接連接所產生的資安風險
EU CRA :有關「範圍」的延伸問題
除了上述的基本問題之外,以下是筆者收到最常詢問的企業問題。
如果你也有相關問題,歡迎留言 或 來信,我會再持續更新內容 🙂
Q: 產品不上網,也算在 EU CRA 的範圍嗎?
不少企業在判斷 EU CRA 適用範圍時,第一個想到的是:
「我們的產品沒有連接上網,是不是可以排除?」
但實際上,不上網,不代表不適用 EU CRA。
EU CRA 關注的不只是產品能不能連上網際網路,而是產品的預期用途或可合理預見的使用方式,是否包含與其他設備或網路,建立…
- 直接或間接連線;
- 邏輯或實體連線;
- 用於傳輸、處理或交換數位資料的連線。
依據 EU CRA Article 2(1),只要具數位元件之產品被提供至歐盟市場,而且其預期用途或可合理預見的使用方式包含與設備或網路,建立直接或間接的邏輯或實體資料連線,就可能落入 EU CRA 的範圍。
沒有連上網際網路,仍可能適用
例如:產品具備以下連線方式時,即使沒有連上網際網路,仍可能屬於 EU CRA 範圍:
* 透過 Ethernet 連接企業內部網路或區域網路
* 透過 USB 與電腦或其他設備交換資料
* 透過 CAN、Modbus、RS-485 或 UART 傳輸數位資料
* 透過 Bluetooth、Wi-Fi Direct、Zigbee 或 NFC 連接其他設備
* 透過 Fieldbus 或 Industrial Ethernet 與 PLC、HMI 或 Gateway 通訊
EU CRA 對「實體連線」的定義相當廣泛,包含透過電氣、光學或機械介面、線材及無線電波建立的連線。邏輯連線則包括透過軟體介面建立的資料連線,例如:網路通訊端、檔案、API 或其他軟體介面。
筆者備註:介面存在,不代表一定適用EU CRA
值得注意的是...不能只看到產品具有 USB、RS-485 或其他介面,就直接判斷一定適用。
仍應進一步確認:
* 該介面是否用於傳輸數位資料;
* 是否會與其他電子資訊系統或元件連線;
* 這種連線是否屬於產品的預期用途;
* 或是否屬於可以合理預見的使用方式。
例如:USB 若僅用於供電,而不具備資料傳輸能力,其判斷結果可能與可傳輸韌體、設定檔或操作資料的 USB 介面不同。
其他例如:洗碗機、基本型計算機、電子玩具、咖啡機及無線充電牙刷、等...;若其內建韌體只控制本身功能,且不具備連接其他設備或網路的能力,通常不屬於 CRA 的適用範圍。
法規參考:
EU CRA Article 2(1):適用範圍
EU CRA Article 3(8):Logical connection
EU CRA Article 3(9):Physical connection
EU CRA Article 3(10):Indirect connection
本文同步發布於 LinkedIn 【EU CRA 問與答】 #008
Q: ODM 白牌產品由品牌商掛牌銷售,誰要符合 EU CRA?
假設 企業 A 負責 ODM,完成產品的設計、開發及製造,再由 企業 B 掛上自己的品牌,提供至歐盟市場。在這個情況下,誰才是真正需要符合 EU CRA的規範呢?
在一般情況下,企業 B 會被視為 EU CRA 所稱的「製造商」,並對最終產品承擔主要的合規責任。
為什麼品牌商 B 會被視為製造商?
EU CRA 判斷「製造商」時,不是簡單的看誰實際設計、開發及製造產品;依據 EU CRA Article 3(13),製造商的定義包括:
- 自行開發或製造產品的企業;
- 委託他人設計、開發或製造產品的企業;
- 並以自己的名稱或商標將產品提供至市場的企業。
因此,即使產品實際上由企業 A 開發及製造,只要是企業 B 委託,並以自己的品牌將產品提供至歐盟市場,企業 B 通常仍屬於 CRA 法規上的製造商。
企業 A 與企業 B 實際的區分
| 企業 | 一般角色 | EU CRA 下的責任 |
| 企業 A | ODM、實際開發及製造供應商 | 依合約提供設計、測試、元件、漏洞及更新等合規資料 |
| 企業 B | 品牌商、CRA 法規上的製造商 | 對以自身品牌提供的最終產品承擔主要合規責任 |
企業 B 需要負責什麼?
企業 B 不能只以「產品是其他公司設計製造」為理由,將責任全部推給企業 A。
作為 CRA 製造商,企業 B 原則上需要根據 EU CRA Article 13 確保產品的設計、開發及生產符合基本網路安全要求,執行風險評鑑、第三方元件盡職調查、漏洞處理、技術文件及符合性評估、...等工作。此外,EU 符合性聲明由製造商簽署;製造商簽署該聲明後,即對產品符合 EU CRA 承擔責任。
但是...企業B畢竟沒有深入產品的開發與設計,又該如何確保呢?
答案是:通常...他們會透過「合約」要求 企業A
企業 A 完全沒有責任嗎?
不能這樣理解。
就企業 B 品牌的最終產品而言,企業 A 通常不是 CRA 法規上的製造商;但產品的實際設計、原始碼、硬體架構、第三方元件及更新能力,多半掌握在企業 A 手中。
因此,企業 B 若缺乏企業 A 的配合,實務上很難完成 CRA 合規。
值得一提的是:最終產品製造商在整合第三方元件時,仍須執行適當的盡職調查,確認元件不會危害整體產品的網路安全。即使漏洞來自整合的第三方元件,最終產品製造商仍須對完整產品履行漏洞處理義務,包括通知使用者、提供緩解措施、更新文件及安排修補。
合約可以把責任轉給 ODM 廠嗎?
企業 B 可以透過合約,要求企業 A 執行特定工作,並約定責任、時限、費用及損害賠償。
但對歐盟主管機關而言,若企業 B 是 CRA 法規上的製造商,企業 B 仍是主要的法定責任主體。雙方合約可以分配內部工作與商業風險,但不會僅因合約約定,就將企業 B 的製造商身分改成企業 A。
需要特別注意的其他情況
如果企業 A 也以自己的名稱或商標,將相同或不同版本的產品提供至歐盟市場,企業 A 也可能成為 EU CRA 所稱的製造商。因此,企業 A 並不是在所有情況下都與 EU CRA 無關,仍須依實際供應及投放市場的方式分別判斷。
法規參考:
EU CRA Article 3(13):製造商定義
EU CRA Article 13:製造商義務
EU CRA Article 14:製造商通報義務
EU CRA Article 21:進口商或經銷商被視為製造商的情況
EU CRA Recital 34:第三方元件的盡職調查
