隨著全球數位轉型加速,台灣許多傳統製造業與科技代工廠皆積極投入電子通訊設備的開發與外銷。
然而,國際市場的遊戲規則正在劇烈變動。即將正式生效的歐盟網路韌性法案(Cyber Resilience Act,下稱 CRA)的推動,標誌著一個全新時代的到來:資安法規已成為所有「具備數位元素之產品」(例如各類軟體與連網硬體等)的關鍵市場准入要件。
如果企業未能及時調整產品開發流程與合約審閱標準,失去的將不只是單一客戶,而可能是整個歐洲市場。本所將從實務角度,剖析 CRA 對台灣出口供應鏈的法律衝擊,並點出合約談判中的關鍵重點。
一、 歐盟網路韌性法案
(一) CRA 的核心規範與管轄效力
歐盟推動 CRA 的核心目的在於建立數位主權,確保所有連接網路的硬體與軟體產品在生命週期內具備足夠的安全性。該法案涵蓋範圍極廣,從消費級的智慧家電到工業級的感測器皆受規範。
對於台灣出口商而言,最關鍵的影響在於 CRA 建立了新的「市場准入限制」(第 6 條)。一旦產品未能符合 CRA 要求的網路安全基本要件,將面臨高額罰金,甚至被強制退出歐盟市場(第 54、55、64 條)。這項新的法規使資安法令遵循已成為企業在歐洲維持競爭的必要問題。
(二) 產品開發的關鍵網路安全要求
除了事後的漏洞處理,CRA 於附件一第一部分(Annex I, Part I)針對產品本身的「屬性」提出了嚴格的防護要求,迫使製造商必須將「安全設計(Security by Design)」落實於研發階段。法規明訂,產品在投放市場時,必須確保「無已知之可利用漏洞(No known exploitable vulnerabilities)」,並以「預設安全(Secure by default)」的配置提供給使用者。
此外,法規特別強調產品應確保漏洞能透過安全更新解決,包含必須將「自動安全更新(Automatic security updates)」設為預設啟用(並提供使用者退出機制)。對於台灣硬體代工廠而言,這表示不僅要交付硬體,在軟體與韌體的底層架構上,更需具備加密傳輸、存取控制與資料最小化的技術能力。若產品在設計初期未納入這些法定規格,將無法通過歐洲市場的符合性評估。
(三) 軟體物料清單(SBOM)
在 CRA 的眾多要求中,對台灣硬體代工廠造成最大衝擊的莫過於軟體物料清單(Software Bill of Materials,下稱 SBOM)的強制揭露(ANNEX I, Part II)。SBOM 乍聽起來很陌生,但 BOM 表對於製造業來說可說是最熟悉不過的文件了,內容會標示產品中物料的品項,是控管硬體零組件的標準文件,而 SBOM 就是軟體版本的 BOM 表。
根據 CRA 的具體要求,產品製造商必須建立機器可讀格式的 SBOM,詳實記錄軟體架構中包含的開源套件、第三方模組及其依賴關係。這份清單不僅是內部開發的管控工具,更是產品上市後,必須能隨時向歐盟市場監督機構或買方提交的法定合規文件。
實務上部分設備製造商為加速產品開發,廣泛導入各類開源軟體(Open Source Software,下稱 OSS),但對於底層程式碼的來源與潛在漏洞卻往往難以全盤掌握,欠缺系統性的盤點。然而,在 CRA 的框架下,此種不透明的軟體供應鏈將成為致命傷。
企業必須具備全面追溯軟體模組、版本及依賴關係的治理能力,確保 SBOM 的正確性與完整性;一旦無法提供符合法定標準的 SBOM,產品將直接面臨卡關,難以跨越歐洲買方的合規審查與採購門檻。
二、 合約審閱注意事項
在國際供應鏈合約中,買方(如歐洲品牌商)為了規避 CRA 帶來的裁罰風險,勢必會在 B2B 採購合約中大幅強化資安條款,將合規責任轉嫁給供應商。
因此,對於買方所提出的新版本合約,建議留意以下事項:「資安瑕疵」的範圍界定與賠償上限、法定的「長期更新義務」,以及最容易被忽略的「開源軟體(OSS)潛在漏洞」歸屬。以下將針對這些核心合約事項各自展開說明。
(一) 瑕疵擔保與賠償責任
在資安瑕疵擔保方面,建議台灣製造商特別留意以下的合約事項:
- 瑕疵定義:合約是否將任何潛在的系統漏洞(CVE)皆定義為產品瑕疵,進而要求無條件退貨或賠償?
- 賠償責任:若因產品資安漏洞、不合規導致買方遭歐盟重罰,買方是否要求賣方全額承擔罰金?
建議企業在談判時,應致力於限縮瑕疵擔保的範圍,並在合約中設立合理的責任上限或例外,避免因單一資安事件導致公司面臨毀滅性的巨額索賠。
(二) 安全性更新
CRA 要求製造商必須在產品的預期生命週期內(原則上至少 5 年,除非產品預期壽命較短))提供免費的安全性更新(第 13 條、Annex I, Part II)。這對硬體毛利微薄的代工廠而言,可能是額外的不小成本負擔。
在合約審閱時,法務人員必須與研發單位確認:企業是否有足夠的技術量能與資源,履行長達數年的漏洞修補義務?合約中應明確界定「預期生命週期」的起算點與終止條件,並探討是否能將長期更新服務轉化為額外的收費項目。
(三) 開源軟體風險
由於開源軟體一般是由第三方所製作完成,企業須檢視如果產品所引用的開源模組停止維護,或是爆發重大零時差漏洞,是否有替代方案。
一般而言,合約條款中對於開源軟體的約定往往不利於製造商,因此建議企業建立嚴格的開源軟體使用政策,在開發階段即排除具有高風險或授權條款嚴苛的開源套件。如果不是由企業單獨完成全部的產品開發,則須留意是否已將相關風險轉嫁到其他供應商。
三、 企業可採取的因應之道
(一) 資安與法務部門的聯動
面對 CRA 帶來的複合型風險,資安長(CISO)與法務長(GC)必須建立緊密的聯動機制。在簽署任何跨國供應鏈合約前,法務部門應將合約中的「資安承諾」交由 CISO 進行技術可行性評估;相對地,CISO 在制定內部資安架構與 SBOM 產出流程時,也需確保其產出符合法務部門在合約中承諾的標準。
(二) 建立合規 SOP 與談判底線
建議企業應針對歐盟市場制定專屬的合約審閱 SOP。預先對於自身技術能力與風險承受度的進行評估,並交由業務以及法務作為契約談判基礎。面對歐洲強勢買方時,避免照單全收對方提供的定型化條款,而應透過釐清 SBOM 揭露範圍、限制瑕疵擔保年限、排除間接損害賠償等方式,建立堅實的合約防線。
四、結論
歐盟 CRA 的生效,宣告了全球供應鏈進入「資安即標準」的新紀元。台灣企業若仍抱持著過去「硬體出貨即結案」的舊有思維,將在未來的國際貿易中面臨嚴峻的法律與財務風險。從產品前期的安全設計(Security by Design)、SBOM 的建立,到後端合約中資安瑕疵擔保條款的談判,皆需要高度的法律專業與技術認知。本所擁有豐富的跨國商務合約審閱與科技法律實務經驗,能協助企業全面檢視既有供應鏈合約,建立完善的合規機制,在確保外銷訂單的同時,穩健控管潛在的法律風險。