企業簡介


歐盟合規準備聲明

產品安全與 EU Cyber Resilience Act(CRA)對齊聲明

PLANET 正積極使其產品安全實務與 EU Cyber Resilience Act(CRA,歐盟網路韌性法案)要求對齊,並已建立相關基礎能力,持續於 CRA 完整適用前強化產品安全、漏洞處理、文件準備與符合性評估基礎。PLANET 提供相關認證、安全流程與文件,以支援客戶與合作夥伴面對 CRA 相關要求。

適用範圍說明

本聲明適用於 PLANET 於歐盟市場銷售,且屬於 EU Cyber Resilience Act(CRA,歐盟網路韌性法案)範圍內之具數位元素產品。最終適用性與符合性評估路徑,將依各產品之功能、軟體能力、預期用途與部署情境,逐一進行產品層級判定。

安全開發與產品安全基礎

PLANET 已取得 IEC 62443-4-1(安全產品開發生命週期)與 EN 18031-1(產品層級安全機制:存取控制、安全預設值與安全更新)相關認證。這些安全基礎是許多廠商才正開始建立的能力,並適切地嵌入 PLANET 的產品設計流程中。

上述安全機制與 CRA Annex I 所定義之基本網路安全要求具有高度對應性,可作為 PLANET 後續產品符合性準備的重要基礎。

PLANET 在適用之產品開發活動中,導入 Secure by Design 與 Secure by Default 原則,包括存取控制、安全預設組態、安全韌體更新,以及漏洞修補與改善機制。

⚠ 

註:IEC 62443-4-1 與 EN 18031-1 分別為 IEC 與 RED 架構下具代表性之標準;CRA 專屬調和標準仍在制定中。

漏洞處理、PSIRT 與協調式漏洞揭露

延續 PLANET 既有公開 Security Advisories 機制,PLANET 已成立專責 Product Security Incident Response Team(PSIRT),集中負責產品漏洞的接收、分流、評估與協調處理。

PLANET 正在建立專屬漏洞通報管道,以接收來自客戶、合作夥伴、安全研究人員與主管機關的資安漏洞通報。所通報的漏洞將由 PLANET PSIRT 依嚴重性與產品影響範圍進行評估,並透過協調式漏洞揭露流程進行處理。

相關準備包含:集中式漏洞接收與分流、依產品影響程度進行嚴重性評估、協調式漏洞揭露政策準備,以及 Security Advisory 發布流程對齊。

✔  集中式漏洞接收與分流
✔  依產品影響程度進行嚴重性評估
✔  協調式漏洞揭露政策準備
✔  Security Advisory 發布流程對齊
SBOM 與符合性文件

針對適用範圍內的產品,PLANET 正在建置 CycloneDX 格式之 SBOM(Software Bill of Materials,軟體物料清單)。SBOM 可提供第三方與開源元件可視性,以支援持續性漏洞監控、元件追蹤與後續符合性文件準備。

安全更新與產品生命週期支援

PLANET 正在定義適用產品之安全更新與產品生命週期支援政策。相關政策目的在於讓客戶與合作夥伴能更清楚了解產品於適用支援期間內之安全更新可用性、漏洞修補、韌體維護,以及產品終止支援(End-of-Support)處理方式。

相關準備包含:適用產品之安全更新可用性、韌體維護與漏洞修補、產品生命週期與終止支援處理,以及面向客戶的支援資訊一致化。

✔  適用產品之安全更新可用性
✔  韌體維護與漏洞修補
✔  產品生命週期與終止支援處理
✔  面向客戶的支援資訊一致化
供應鏈盡職調查

PLANET 正逐步導入以資安為重點的供應商服務水準協議(SLA),以強化元件供應商與第三方供應鏈的資安盡職調查能力。

初步產品分類

以下分類為預期結果,屬初步判定,並於合適情況下將經第三方確認。

非網管型設備

CRA 預設類別

若不屬於 CRA Annex III 網路功能範圍內,預期將歸類於 CRA Default Category,可採製造商自我評估(Annex VIII, Module A)與自我宣告方式。

網管型交換器

重要產品 - 第一類 (Class I)

由於提供 Annex III 所定義之網路功能,預期將歸類於 Important Products – Class I。若適用調和標準已完成,符合性可透過內部生產控制方式展現;然而 CRA 專屬調和標準目前仍在制定中,因此該路徑尚未完全可用。PLANET 正準備第三方符合性評估路徑,並使用業界信任之漏洞掃描工具驗證產品安全性。

⚠ 

歐盟目前仍在落實 CRA 指定驗證機構(Notified Bodies)的指派與調和標準的最終制定;普萊德科技(PLANET)正提早與經認可的機構展開合作,以便在法規架構就緒後,能隨時完成相應的合規路徑。

產品分類屬於初步判定,並在合適情況下需經第三方確認;最終的合規路徑將根據每項產品的功能與預期部署方式來決定。

CRA 實施時程

PLANET 正依 EU Cyber Resilience Act 的主要實施里程碑規劃 CRA readiness 活動。

2024 年 12 月

CRA 正式生效
製造商與經濟營運者進入過渡準備期。

2026 年 9 月

漏洞通報準備
漏洞與資安事件通報義務開始適用,需具備漏洞接收、分流、評估與通報準備能力。

2027 年 12 月

CRA 完整適用
CRA 對歐盟市場適用範圍內具數位元素產品的完整要求預期全面適用。

Contact Us