歐盟《網路韌性法案》(CRA)施行與 SBOM 法遵要求 2026

歐盟《網路韌性法案》(Cyber Resilience Act, CRA)將於 2026 年 9 月 正式施行,為在歐盟市場銷售含軟體、韌體或連網功能產品的企業設立強制性安全通報與 SBOM 要求。

法規核心要求

  • 適用對象:在歐盟銷售含軟體、韌體或連網功能產品的企業
  • 漏洞通報時限
    • 24 小時:發現漏洞遭濫用後提出早期警示
    • 72 小時:完成完整通報
    • 14 天:提交最終報告(修正措施可用後)

SBOM 現況(Cloudsmith 2026 報告)

根據 Cloudsmith《Artifact Management Report 2026》:

指標數據
已能產出 SBOM 的企業95%
將 SBOM 驗證納入自動化安全控管僅 25%
對稽核有高度因應信心僅 27%
可在 6 小時內判定漏洞影響79%
可在數分鐘內自動識別/封鎖受影響元件僅 37%

問題:SBOM 停留在文件層面

75% 組織僅將 SBOM 視為應付稽核的文件,未整合進日常安全流程。CRA 要求組織能夠:

  1. 掌握軟體套件相依關係
  2. 追蹤元件在供應鏈中的流向
  3. 確認應用程式實際使用位置

影響

  • 缺乏快速產出稽核報告可視性:74% 企業
  • 自動化能力不足:多數企業具備初步影響判定能力,但缺乏自動化防護與事件應變能力

來源文章