歐盟CRA強制執行倒數！ 叡揚資訊攜專家助台灣產業迎戰國際法規

(中央社財經訊息服務20251223 16:08:31)

隨著全球資安法規加速落地，產品安全已不再是單一產業的議題，而是所有含數位元件的產品與服務共同面臨的國際挑戰。歐盟議會通過投票正式批准了「歐盟網路韌性法案」(Cyber Resilience Act, CRA) 已於2024年12月生效，並將在2027年全面強制執行。該法案要求所有含數位元件的軟硬體製造商必須在產品生命週期中持續落實SSDLC（Secure Software Development Life Cycle）導向的安全管理，確保從設計、開發、部署到維護全程具備可追溯、可稽核的資安控制。不僅不得出現已知可利用漏洞，一旦發現重大漏洞，製造商需24小時內進行通報，並在 14 天內完成修補並送交初步補救報告 ，後續也需於一個月內向主管機關提交完整補救報告，未能遵循者將面臨最高可達全球營收2.5%的巨額罰款。

為協助台灣產業掌握國際法規趨勢並提前布局，叡揚資訊於今年8月曾舉辦「產業升級×接軌國際：製造業軟體安全開發高峰會」，會中特別邀請專注在C語言檢測的CodeSonar副總裁Mark Hermeling來台深入解析CRA帶來的衝擊，並展示如何透過深度靜態分析，在C語言與嵌入式系統開發早期就能發現傳統檢測難以捕捉的高風險弱點。值得一提的是，CodeSonar的開發商CodeSecure已於2025年6月與AdaCore正式合併，共同致力於提供更全面的嵌入式軟體安全與高可靠性解決方案，助力關鍵產業面對日益嚴峻的資安法規與挑戰。

延續叡揚資訊長期推動軟體安全領域的投入，日前叡揚資訊亦攜手財團法人資訊工業策進會資安科技研究所、台灣區電機電子工業同業公會與各界專家，於11月27日舉辦「因應歐盟韌性法案（CRA）跨足歐盟市場研討會」，共同探討歐盟國際法規對產品生命週期、軟體供應鏈治理與跨國市場競爭力的影響，並提出符合國際標準的實務對策。

面對CRA法規所要求的「安全設計」、「持續弱點管理」與「可稽核證據」等義務，叡揚資訊強調，企業需要的並非更多工具，而是能真正讓安全流程落地的能力。此外，完善的 SBOM（Software Bill of Materials）與元件治理同樣至關重要，透過完整的元件清冊與版本追蹤，企業才能在漏洞公告發布時快速掌握受影響範圍、採取修補行動，並生成可供稽核的合規證據，這也使SBOM成為協助企業提升產品生命週期透明度、回應國際法規要求的重要基礎。

隨著CRA、UNECE R155/R156與全球多國法規相繼上路，全球產業正在邁入「軟體安全即產品品質」的新時代。叡揚資訊專注於軟體技術與應用服務已逾30年，在資安領域累積超過20年的實務經驗，憑藉在安全軟體開發生命週期（SSDLC）、零信任架構與供應鏈安全上的深厚實務經驗，協助企業從設計、開發、測試到部署與維運，都能以國際法規為基準建立完整的安全治理體系，協助企業建立符合CRA要求的證據鏈，從弱點管理、SBOM更新、DevSecOps流程到執行期防護與雲端態勢管理，轉化成企業日常可運作、可延續的能力。

叡揚 資訊安全服務 https://www.gss.com.tw/sca

叡揚資訊安全服務，致力為各大企業及組織提供DevOps應用程式安全解決方案、顧問及整合服務，以改善資訊安全、提高企業效能為使命，全方位引進國際前瞻領導性知名品牌，目標打造提供台灣企業良好的資安平台，優質服務累積廣大的客戶群，包含醫療業、政府國營事業、金融業、壽險業、電信業、交通運輸業、製造業、高科技業等等。服務範圍包括源碼檢測服務、開源碼檢測及管理、APP黑箱安全檢測、Mobile & APP自動化連續測試平台、行動應用安全保護、工具使用建置及導入建議、SSDLC整合、軟體Coding 安全課程、Java解決方案等，未來也將持續引進國際頂尖資安資訊及技術，協助客戶有效提升應用系統安全強度，建立堅強資安防線。期許透過卓越的軟體與服務，帶領客戶透過IT創新提升企業產能及核心競爭力。

叡揚資訊 www.gss.com.tw

成立於1987年，是台灣資訊軟體業的領導廠商，於應用系統開發已有30餘年經驗，亦是區域級資訊軟體與雲端SaaS服務供應商。30多年來專注於軟體技術及應用服務，提供企業e化應用軟體、資訊治理及資訊安全、運帷服務，以及雲端與巨量資料服務等4大產品線，加乘先進的協同作業、行動化、雲端、AI、機器學習、ChatBot、大數據等前瞻技術，持續創造產品與優化服務，深獲金融業、政府、醫院、電信與製造業等2,000家海內外客戶及40,000名以上雲端使用客戶的肯定。

新聞聯絡人
叡揚資訊 公共關係 蘇聖琁 (02) 2586-7890 #10199