【臺灣資安大會直擊】合勤資安長游政卿：歐盟CRA倒數上路，產品安全成供應鏈生死線

CRA上路倒數，供應鏈面臨重新洗牌

游政卿強調，與AI等快速變動的技術趨勢不同，CRA是具體且時程明確的法規要求，預計在2027年12月將會全面生效，企業在2026年就進入關鍵準備階段。「這不是未來的問題，而是未來兩年內就會發生的供應鏈洗牌」，他說。

這也是歐盟推動CRA的原因之一，要從源頭確保每一項產品的基本安全，避免小漏洞累積成系統性風險，建立起整體供應鏈的防禦能力。

游政卿指出，CRA主要針對所有具備「數位元素」的產品，要求企業在產品設計、上市與後續維護等全生命週期中，皆需落實資安管理。這代表企業不再只需確保產品出貨時安全，而是必須承擔長期維護責任，包含至少5年的漏洞修補與安全更新。

從出貨安全到全生命週期責任，資安門檻大幅提高

游政卿指出，過去企業多採一次性檢測，確保產品出貨時符合安全標準即可，但CRA要求企業從源頭證明產品安全，並在上市後持續維護。他形容，這種轉變等同於企業「要負責產品到成年，而不是生出來就結束」。

這項要求也直接反映在歐盟CE標章制度的演進上，未來不僅涵蓋健康、安全與環境，還將納入產品資安要求，成為進入歐洲市場的必要條件。

Mirai攻擊成轉折，歐盟強化供應鏈防禦

CRA的推動背景，來自過去重大資安事件的衝擊，例如Mirai殭屍網路攻擊，利用大量預設帳密未變更的IoT設備，形成大規模攻擊網絡，甚至影響國家層級的網路穩定。

游政卿指出，這類事件讓歐盟意識到，單一設備的弱點可能擴大為整體基礎設施風險，因此決定從供應鏈源頭要求產品安全，建立「乾淨供應鏈」的概念。他強調很重要的一點是，不只是企業本身要合規，供應鏈也要合規。

三大能力成關鍵：應變、SBOM與證據鏈

面對CRA衝擊，企業需具備三項核心能力。首先是漏洞的應變能力，企業需建立產品安全事件應變團隊（PSIRT），並在24小時內通報重大漏洞，72小時內提出處理計畫。

其次是軟體物料清單（SBOM）管理。企業需清楚掌握產品內所有軟體組成，包括開源元件，並將SBOM納入CI/CD流程自動更新。游政卿指出，許多企業目前仍無法掌握開源組件，將成為未來合規最大風險。

第三是證據鏈管理。CRA不再接受單純文件或自我宣稱，企業需在設計、開發、測試與維運各階段留下完整證據，以證明產品持續符合安全要求。

供應鏈全面連動，中小企業難置身事外

即使未直接銷售至歐洲市場，企業仍難以避開CRA影響。游政卿指出，只要產品進入供應鏈並最終銷往歐洲，上游供應商同樣需符合要求。

他觀察，客戶稽核方式也已改變，從過去的問卷勾選，轉為要求實際證據。「如果沒有證據，就等於沒有做」，這也是產品在設計、開發、測試、維運各階段需要保留完整證據的原因。

最大風險不是鉅額罰款，而是失去市場信任

雖然CRA設有高額罰款機制(罰款方面，最高處罰1,500萬歐元（約5.2億台幣），或企業前一會計年度全球總營收的2.5%)，但游政卿認為，企業真正風險不在罰款，而在於產品被下架或失去市場准入資格。一旦被排除在供應鏈之外，將難以重新取得客戶信任。

他形容，市場就像一道圍牆，「一旦被擋在外面，就很難再進來」，因此企業應將重點放在維持供應鏈地位，而非僅滿足最低法規要求。

合勤推分階段策略，先從模範產品做起再擴散

在實務因應上，合勤採取分階段推動策略，他們先選定輸出至歐洲較具代表性的「模範產品」，釐清產品在CRA中的風險等級，例如是否屬於高風險產品、是否需要第三方驗證，依據不同產品有不同的合規方式，例如一般產品為自我評估，而高風險產品則送指定的實驗室驗證。先從選定的產品線導入CRA要求，建立標準流程後，再逐步擴大至其他產品。

同時，合勤也建立跨部門治理架構，整合資安、研發、品保與法務等單位，並建立產品安全事件應變機制（PSIRT），包括建立漏洞通報與回應流程，包含對外提供通報窗口（email /平台）、建立內部處理機制，目在在搶先掌握漏洞資訊，取得CVE編號發佈能力（CNA），提前掌握全球漏洞資訊，爭取在漏洞公開前完成修補。

此外，合勤也導入自動化工具處理SBOM與漏洞管理，以因應大規模產品線的合規需求。

資安從加分變市場門檻，合規轉化為競爭優勢

游政卿指出，過去企業常以品質、成本、交付與服務（QCDS）為競爭指標，資安只是加分項目，在歐盟CRA上路後，「資安做不好，連做生意的資格都沒有」，他強調CRA雖然為企業帶來衝擊，但未來產品資安做得好，當其他企業因CRA被拒於門外，合規企業有機會取而代之，打入其客戶供應鏈。

「合規只是門票，信任才是競爭力」，游政卿表示，企業若能將產品安全轉化為品牌信任，將在全球市場中取得長期優勢。