產品分類
CRA根據網路安全關鍵程度將數位元素產品分為不同類別。
I類(預設)
不屬於II類的數位元素產品。
範例:
- 消費電子產品
- 智慧家居設備
- 通用軟體
評估: 自我評估或第三方評估
II類(重要)
對網路安全重要的產品。
範例:
- 作業系統
- 網路管理
- 安全軟體
- 工業控制
評估: 由公告機構進行符合性評估
基本要求
安全設計
產品必須從一開始就設計有適當的安全措施。
漏洞處理
建立識別、記錄和處理漏洞的流程。
SBOM
維護記錄所有元件和依賴項的軟體物料清單。
安全更新
在預期產品生命週期內提供安全更新(至少5年)。
文件
準備技術文件以證明符合基本要求。
實施時間表
2024年第四季
CRA生效
2025年
報告義務開始
2026年
符合性評估要求適用
2027年
需要完全合規