TÜV NORD Taiwan工業服務部國際AI資安策略總監林正偉指出,歐盟以《網路韌性法案》(CRA)為核心,將資安要求直接綁定產品上市門檻,對以出口電子與系統產品為主力的台灣產業而言,這已不再是法規解讀議題,而是能否持續取得歐洲訂單、維持供應鏈資格的關鍵競爭條件。
林正偉表示,CRA的核心在於把資安治理由單一「產品功能」拉升到可稽核的「開發過程」。法規不僅要求產品本身具備必要的安全防護能力,更強調製造商必須建立持續性的弱點監控與通報機制,並以嚴謹且文件化的程序管理整個開發流程。尤其在技術文件中維護完整的軟體物料清單(SBOM),讓企業在曝險元件被揭露時,能迅速追溯受影響版本並採取補救措施。
在實務推動上,他點出台灣企業最大的風險在於「權責不清」。多數製造商談到網路安全,直覺就是交給資訊部門或IT團隊處理,但CRA規範的對象是「具備數位元素之產品」本身,而非企業內部IT環境。因此,真正必須主導落實的應是產品研發(R&D)與產品管理團隊,從前期架構設計與風險評估、需求定義,到程式碼實作、整合測試與驗證,都應由R&D負責產出可追溯的合規文件,讓資安成為產品設計的一部分,而不是出貨前才補強的附加項目。
TÜV NORD Taiwan工業服務部國際AI資安策略總監林正偉指出,面對歐盟CRA強制合規,唯有將資安治理從單純的產品功能延伸至開發全生命週期,方能確保歐洲市場競爭力。
針對尚在建構中的歐盟調和標準體系,林正偉提醒,若企業選擇靜待所有標準正式發布才啟動專案,屆時時程與成本壓力將難以承受。他建議善用現有成熟框架作為銜接基礎,例如工業控制資安標準IEC 62443系列,藉此建構安全開發生命週期(SDLC)的管理與技術體制,未來對照歐盟調和標準時,多半只需要進行對應與微調即可平順接軌。
他強調,CRA的推行象徵全球供應鏈資安標準正在發生典範轉移。企業應立即啟動內部盤點,釐清各項產品是否落在法規定義的「重要產品」或「關鍵產品」類別,因為這將直接影響能否採用自我聲明程序,或必須引入第三方機構進行符合性評鑑。透過落實產品生命週期的資安管理,並將資安責任回歸研發源頭,台灣製造商才能在這波法規浪潮中站穩腳跟,確保產品順利進入歐盟市場。