《網路韌性法案》(CRA) 取代《無線電設備指令》(RED) 網路安全規範的方式如下:
• 無縫接軌與避免雙重規範:為了避免無線電設備在網路安全領域面臨雙重規範與法律不確定性,歐盟計畫在 2027 年 12 月 11 日 CRA 全面適用之時,同步廢除 RED 的網路安全授權法規(委員會授權法規 (EU) 2022/30)。
• 規範要求完全涵蓋:CRA 作為一項水平性(跨領域)的數位產品網路安全法規,其附件 I 所列的基本網路安全要求,已經包含了 RED 第 3 條第 3 款 (d)、(e)、(f) 項中的所有元素(例如保護網路免受損害、保護個人資料與隱私,以及防止詐欺等)。這使得 CRA 得以在實質上全面繼承並取代 RED 在網路安全領域的功能。
針對先前已經依循 RED 標準進行合規準備的部分,在 CRA 上路後的影響與過渡方式如下:
• 合規基礎高度重疊:由於 CRA 的要求已經包含了 RED 網路安全規範的所有核心元素,廠商過去為了符合 RED 所做的產品技術開發與合規準備,在應對未來的 CRA 規範時具備高度的延續性與關聯性。
• 舊有 RED 協調標準將被刪除:儘管實質要求有延續性,但在法規作業上,官方計畫於 RED 授權法規廢除後,將原先在 RED 框架下引用的網路安全協調標準予以刪除。這意味著未來進入 CRA 時代後,產品需改為遵循 CRA 體系下的規範與標準。關於過渡至 CRA 的具體實務細節,目前歐盟的「無線電設備專家小組」仍在持續討論中。
• 過渡期間已上市產品不受影響:如果您依循 RED 標準的產品是在 2025 年 8 月 1 日至 2027 年 12 月 10 日(即 CRA 適用前一日)之間投放歐盟市場,廢除 RED 授權法規並不會影響這些產品的效力。這些已上市產品的合規狀態將繼續受到歐盟在 RED 下的市場監督與控制機制所保障。