商傳媒|吳承岳/台北報導
歐盟近日持續推進兩項關鍵網路安全法規,即《網路及資訊系統安全指令第二版》(NIS2指令)與《網路韌性法案》(CRA),預計將對廣泛產業的企業營運與產品製造帶來深遠影響。由於兩者規範對象不同,在歐盟市場經營或有供應鏈往來的台灣企業,勢必面臨新的合規挑戰。
NIS2指令主要規範企業與組織的資安體系,其適用範圍涵蓋能源、交通、醫療等重要基礎設施,並擴及製造業等多元領域。這項指令要求相關企業建立完善的風險管理機制,並具備迅速應對資安事件的能力。由於NIS2屬於「指令(Directive)」,歐盟各成員國需將其轉化為國內法規後才能實施。資安專家茲默曼(Mr. Zimmermann)指出,德國已於2025年12月完成國內法化,但部分成員國如法國和西班牙仍處於整備階段,各國後續動態值得觀察。
另一方面,CRA則是一項針對「數位元素產品」本身的規範,屬於「規則(Regulation)」。這意味著CRA將在歐盟全境直接適用,無需等待各成員國的國內法化。根據計畫,CRA預計將於2027年12月全面實施。此法案要求製造商必須在軟體與硬體的設計階段,就將資安弱點防護措施納入考量,確保產品從源頭即具備網路韌性。茲默曼表示,NIS2與CRA兩者雖然各自獨立,但在規範範圍上相互補足。
對於台灣製造業及科技業者而言,若其產品銷往歐盟市場或其供應鏈涉及歐盟企業,便須密切關注並遵守這些新法規。這不僅包括提升自身企業的資安防護能力以符合NIS2指令的要求,也涵蓋檢視並調整旗下數位產品的設計流程,以確保從開發初期就符合CRA對資安的嚴格標準。未來的貿易往來,合規將成為新的重要課題。
