当一个网路安全问题不再是「纸上谈兵」,而是正在现实中真实上演时,会发生什么事?
随着欧盟《网路弹性法案》(EU Cyber Resilience Act, 简称 CRA)逼近关键节点,倒计时已经开始:从 2026 年 9 月起,法案第 14 条规定的资安漏洞通报义务将成为强制要求——即使是存量产品(既有产品)也不例外。
根据 CRA 第 14 条规定:
制造商必须确切知道「向谁通报」、「多快通报」以及「通报什么内容」。因为当资安危机发生时,回应速度就是一切。
制造商必须确切知道「向谁通报」、「多快通报」以及「通报什么内容」。因为当资安危机发生时,回应速度就是一切。
触发 CRA 资安通报的两大关键场景
01
正在被利用的资安漏洞
当产品缺陷已经被攻击者利用时 ➔ 制造商必须在 24 小时内发出预警,72 小时内提交详细通知,并在缓解措施实施后提交最终报告。
02
严重的网路安全事件
当产品安全面临严重风险时(即使尚未发生实际的漏洞利用)➔ 同样需要走快速通报通道,并提交结构化的更新报告。
所有报告都将透过单一通报平台进行,以确保与全欧洲的电脑安全事件回应小组(CSIRTs)及欧盟网路安全局(ENISA)保持高度协调一致。
这不仅仅是为了满足合规性,更是为了落实快速反应、保护用户,并在第一时间将损失降到最低。
在 Secure Vector Surveillance,鉴于《网路弹性法案》(CRA)日益增长的重要性,我们持续密切关注其最新动向,致力于协助制造商将复杂的欧盟资安法规要求,转化为清晰、可执行的标准作业流程。

