歐盟《網路韌性法案》(CRA)施行與 SBOM 法遵要求 2026
歐盟《網路韌性法案》(Cyber Resilience Act, CRA)將於 2026 年 9 月 正式施行,為在歐盟市場銷售含軟體、韌體或連網功能產品的企業設立強制性安全通報與 SBOM 要求。
法規核心要求
- 適用對象:在歐盟銷售含軟體、韌體或連網功能產品的企業
- 漏洞通報時限:
- 24 小時:發現漏洞遭濫用後提出早期警示
- 72 小時:完成完整通報
- 14 天:提交最終報告(修正措施可用後)
SBOM 現況(Cloudsmith 2026 報告)
根據 Cloudsmith《Artifact Management Report 2026》:
| 指標 | 數據 |
|---|---|
| 已能產出 SBOM 的企業 | 95% |
| 將 SBOM 驗證納入自動化安全控管 | 僅 25% |
| 對稽核有高度因應信心 | 僅 27% |
| 可在 6 小時內判定漏洞影響 | 79% |
| 可在數分鐘內自動識別/封鎖受影響元件 | 僅 37% |
問題:SBOM 停留在文件層面
75% 組織僅將 SBOM 視為應付稽核的文件,未整合進日常安全流程。CRA 要求組織能夠:
- 掌握軟體套件相依關係
- 追蹤元件在供應鏈中的流向
- 確認應用程式實際使用位置
影響
- 缺乏快速產出稽核報告可視性:74% 企業
- 自動化能力不足:多數企業具備初步影響判定能力,但缺乏自動化防護與事件應變能力
來源文章
- ithome-2026-05-19-eu-cra-sbom-175916 — 原始來源(iThome 2026-05-19)