Dr. Lukasz Kister 解析歐盟 Cyber Resilience Act 關鍵挑戰與應對策略
這項旨在提升數位產品資安能力的法規,將對所有在歐盟市場銷售的軟硬體產品產生深遠影響。對於高度依賴精確與穩定運作的工業自動化與控制系統 (OT/ICS) 領域而言,CRA不僅是挑戰,更是推動產業升級的關鍵契機。
ISA Members 直接與核心成員對話
首先,先認識一下我們的重量級嘉賓 Dr. Lukasz Kister。Dr. Kister 不僅是資安領域的資深專家,更擔任歐盟執委會 CRA 專家小組 (EU CRA Expert Group) 的核心成員。為協助各界深入理解這項產品資安要求的「game changer」,ISA Taiwan Section 邀請到這位重量級專家進行一場獨家深度解析,Dr. Kister 直接參與了 CRA 法規的推廣與討論,對於法規的內涵、精神與未來走向,擁有最深刻的理解。
深度解析 CRA 的核心挑戰
Dr. Kister 在分享中強調,CRA 是一個橫向的網路安全法規,適用於所有具有數位元素的產品,無論是消費品還是工業控制系統。這項法規的範圍極廣,涵蓋所有硬體、軟體以及可單獨上市的零組件。他特別指出,CRA 的主要挑戰在於企業需要為安全的開發生命週期投入財務資源,而非僅限於技術實施本身。
以下是 Dr. Kister 針對 CRA 實施所提出的幾個關鍵挑戰與應對策略:
一・產品分類與基本要求的一致性
CRA 將產品分為「Critical Product」、「Important Product Class 1 和 Class 2」 和「Default」三大類。Dr. Kister 強調,所有類別的產品都必須符合相同的基礎網路安全要求。主要的區別在於符合性評估過程:critical product 和 important product class 2 產品需要外部評估,而 importnat product class 1 和預設產品可進行內部評估。歐盟委員會的實施法案草案提供了技術描述以進一步澄清產品類別。
二・關鍵時間表與行動的迫切性
強制性通報「非主動式利用漏洞」的要求將於 2026 年 9 月 生效。屆時,企業必須準備好管理漏洞的流程,包含評估、修復與回應。CRA 將於 2027 年 12 月 全面適用。儘管協調標準尚未完全到位,Dr. Kister 仍敦促企業應立即開始準備,因為調和標準的缺乏不會改變 CRA 的生效日期。
三・CRA 法規的基石 – 風險評估
Dr. Lukasz 強調,風險評估是 CRA 的基礎要求。它必須從終端用戶的角度出發,在產品的整個生命週期中持續進行。風險評估應考量產品的預期用途、可預見的誤用、操作環境以及對用戶健康和安全的潛在影響。理解產品相關風險是理解其餘 CRA 基本要求必要的起點。
四・在缺乏協調標準下的應對策略
面對協調標準預計在 2026 年底後才發布的現況,Dr. Kister 建議企業不要等待,應立即行動。他指出,協調標準並非強制性,它們只是提供符合法規的技術途徑,而非取代法律要求。因此,企業應基於詳細的網路安全風險評估,來理解並實施必要的安全措施。
五・「預設安全」(Secure by Default) 的解讀
這意味著產品應配置為最安全的可能性,同時考量產品的上下文、互操作性及經評估的風險。Dr. Kister 澄清,這不代表必須使用最先進的技術解決方案,而是要在安全與可用性之間取得平衡,並提供用戶選擇退出 (opt-out) 的機制,前提是用戶需被告知相關風險。
六・漏洞管理與「已知可利用漏洞」
Dr. Kister 表示,產品發布時應不含「已知可利用漏洞」。他進一步解釋,「可利用漏洞」是指在實際操作條件下,潛在能被攻擊者有效利用的漏洞。他認為,如果漏洞的風險評分較低,在實際操作條件下難以被利用,可能不需在發布前立即修復,但必須在整個產品生命週期中建立明確的漏洞管理流程。
七・延伸製造商的產品生命週期責任
CRA 將製造商的責任延伸至整個產品生命週期,從規劃到產品生命終止。這包括持續的漏洞與安全更新管理、定期安全測試以及持續的風險評估。Dr. Kister 提醒,某些要求,例如文件保留,甚至在產品宣告生命終止後仍持續有效。製造商還需明確定義產品的支援期限,通常建議至少五年,以涵蓋漏洞處理。對於零組件供應商,如果零組件單獨銷售,則必須符合 CRA;如果作為另一產品的一部分,最終產品製造商需對整個產品負責,因此需要與零組件供應商簽訂漏洞管理合約。
展望未來:CRA 合規是一個持續的過程
Dr. Kister 強調,CRA 合規並非一次性的清單勾選。它要求建立一套基於風險的全面安全開發生命週期流程。符合性聲明僅是當前情況的快照,必須反映產品持續的合規性和風險管理。與 GDPR 不同,不符合 CRA 將導致產品無法在歐盟市場銷售,這對許多製造商而言是實質性的威脅。此外,他強調 CRA 合規是一個「團隊合作」,不僅僅關乎網路安全或工程部門,而是需要銷售、產品管理、工程、法律等各部門的協同合作。
Dr. Kister 的這些洞察,為企業應對歐盟網路強韌法案提供了清晰的藍圖。這不僅是一場法規的考驗,更是一次產業升級的契機。透過理解 CRA 的核心精神、積極進行風險評估、並將安全納入產品的整個生命週期,企業將能確保其產品在歐盟市場的競爭力,並提升自身的網路韌性。
“CRA is a challenge primarily for businesses, not engineering or testing teams, as it concerns the financial investment required to prepare a secure development lifecycle rather than specific security implementations.”
Dr. Lukasz Kister
European Commission CRA Expert Group,
and Cyber Security Director – Global Product Security, Honeywell
延伸閱讀
- 2024智慧變電站與電網系統資安聚會小結語 – click for more information
- 工控產品安全開發與實作中的常見誤解與最佳實踐 – click for more information
- 2025臺灣資安大會國際自動化協會臺灣分會與企業贊助夥伴議程整理 – click for more information
一起加入 ISA 的年費會員吧!
透過標準和知識共享的交流過程中,共同促進全球自動化社群的能力