2026年AI資安威脅──台灣借鏡歐盟CRA的中小企韌性策略

554

今年過年期間（2026年2月17日），圓山大飯店資訊系統疑遭駭客入侵，疑似發生客戶個資外洩之風險，凸顯中小型組織的資安威脅，將是今年馬年的資安防護重點。主因，駭客組織將大量使用AI，攻擊防護力較弱的中小型企業，建立跳板，威脅我國整體資安韌性；就此世界經濟論壇（The World Economic Forum, WEF）於今年過年前（2026年1月12日）所發布「2026年全球網路安全展望」，就指出AI的進步，將加劇中小型組織的資安不平等與威脅困境。

就此，過年前（2026年2月2日），數發部就已經超前部署，發布新聞稿指出，資安署將攜手經濟部中企署與資安院，打造中小企業資安防護體系，凸顯對中小企業的資安防護重視。

建議未來應借鏡歐盟的強化中小企業網路韌性徵求計畫，除能讓中小企業資訊出口商，能符合歐盟資安韌性法（EU Cyber Resilience Act, CRA）要求外，更能提出相對完整的配套政策，以強化我國中小企業的資安防護韌性，確保供應鏈的資訊安全。

一、WEF指出AI的進步，將加劇資安不平等現象

早在今年過年前（2026年1月12日）世界經濟論壇（The World Economic Forum, WEF）所發布「2026年全球網路安全展望」，就指出AI正在重塑資安風險格局，根據其調查指出生成式人工智慧（genAI）造成的資料外洩（34%）和對抗能力的提升（29%），將成為2026年的主要擔憂；且AI發展也將加速資安攻防進化，即駭客將大量利用AI工具，以提升攻擊的規模、速度、複雜性和精準度，亦將完整發展出自動化攻擊技術，及產生更難防禦的社交工程攻擊，將對資安防護韌性造成很大的挑戰。

就此，WEF也指出AI的進步，正在加劇現有的資安不平等現象，亦即較大規模的組織正率先使用AI工具，偵測資安威脅及執行自動化防禦，但中小型企業和其他類似機構（它們佔全球生態系統的90%）則受限於資金不足，及相對缺乏資安人力，而無法應變AI快速發展所衍生的資安威脅。

二、借鏡歐盟的強化中小企業網路韌性徵求計畫

去（2025）年9月21日歐盟報到和登機系統供應商柯林斯航空航太（Collins Aerospace）生產的MUSE軟體因存在漏洞，而遭網路攻擊及植入勒索軟體，導致歐盟最繁忙的倫敦希斯洛機場、柏林機場及布魯塞爾等機場均受到影響，凸顯關鍵基礎設施的供應鏈遭受攻擊，將侵害國家的資安韌性。

就此，一個月後（2025年10月）歐盟網路安全局（European Union Agency for Cybersecurity, ENISA）發布「2025年資安威脅概覽（THREAT LANDSCAPE 2025）」強調資安防禦策略必須以情報為核心，主動搜尋漏洞與威脅、執行異常行為檢測，以及將網路風險管理融入更廣泛的營運和政策框架中，故於《歐盟資安韌性法》（EU Cyber Resilience Act, CRA） 強制規範數位產品和服務漏洞揭露義務，嵌入系統安全設計模式，以減少資安風險。

同時，《網路團結法案》（The Cyber Solidarity Act , CSoA；Regulation（EU）2025/38）則建立資安事件的事前預警、事中應變及事後審查機制，改善跨國資安事件合作及共享威脅情報，加強了歐洲的資安聯防。

ENISA也強調更新後的《資安安全藍圖》（Cybersecurity Blueprint）建構大規模資安事件的標準化應變程序。隨後，於過年前，2026年1月28日歐盟發布強化中小企業網路韌性徵求計畫（Strengthening EU SMEs Cyber Resilience；以下簡稱: SECURE project），投入約2,200萬歐元，其中1,650萬歐元為直接財政支持，單一專案最高補助微型、小型和中型企業（MSMEs）約3萬歐元（約112萬新台幣；MSMEs亦須共同出資50%），且與歐盟各國的網路安全協調中心（National Cybersecurity Coordination Centres, NCC）和歐洲數位創新中心（European Digital Innovation Hubs, EDIH）合作，包含義大利、比利時、西班牙、波蘭、盧森堡、羅馬尼亞和奧地利的國家網路安全機構、研究機構參與，加速MSMEs符合《歐盟資安韌性法》（EU Cyber Resilience Act, CRA）要求，以及其他相關標準，例如ISO 27001、支付卡行業資料安全標準（PCI DSS）及歐盟《網路與資訊安全指令第2版》，目標（詳見下表）為：

（1）加強中小、微型企業網路韌性能力

（2）支持中小、微型企業遵守《歐盟資安韌性法》

（3）為中小、微型企業提供市場所需的資安指引與工具

（4）建構可持續且能應變未來資訊發展趨勢的資安防護機制

表 1 歐盟強化中小企業網路韌性徵求計畫要點

項目	內容
申請方式	完整申請流程（註冊→提交→評估→實施）皆透過 SECURE 數位平台進行
開放申請期間	2026/01/28─2026/03/29（第1輪Open Call）
申請資格	EU成員國及Horizon Europe伙伴國之微型、小型和中型企業（MSMEs）；需提出CRA合規與資安韌性專案
資助金額	單一專案最高補助3萬歐元（共同出資 50%）
補助用途	強化產品或軟體資安、CRA 合規強化、弱點測試、風險管理流程改進
評估標準	與CRA目標之相關性、影響力預測、執行可行性與品質評估
額外支援	資安人才訓練、CRA合規資源平台、案例分享及利害關係人交流活動
專案總預算	約€22M（百萬歐元），其中€16.5M（百萬歐元）用於 MSMEs 之 Cascade Funding
專案目標	協助 EU MSMEs 提升資安韌性與 CRA 法規遵循能力

三、建議數發部資安署提升中小企業資安防護策略

去年10月筆者接受媒體專訪，就指出8月隨立法院通過《資安法》修正草案，除了應加強公務機關及關鍵基礎設施的資安義務之外，在法規第四條已增訂政府應「協助民間處理、因應及防範重大資通安全事件」，是首次確立政府協助民間資安的法源依據，故應訂定子法（或辦法），積極提出中小企業資安的防護措施，學習歐盟建立民間資安防護的獎勵補助、資安輔導進駐等機制，才能避免像中小型電商、關鍵製造業，因資安事件導致個資或機敏資料外洩。

過年前（2026年2月2日），數發部發布新聞稿指出，資安署將攜手經濟部中企署與資安院，打造中小企業資安防護體系，推出「中小企業基本資安諮詢服務」、「中小企業資安教育訓練影片」及「資安星際指南」等多項措施，已經超前部署，建議參考近期歐盟針對中小企業所推動的各項資安防護措施。

期盼數發部除能參考歐盟SECURE project的他山之石，提出相關中小企業資安防護配套措施外，更能整體研究歐盟各國所提的中小企業資安因應策略。例如，建議參酌羅馬尼亞國家網路安全局（DNSC）所提出的CYBERFORT計畫，就邀集政府、資安公司及產業共同合作，為中小企業提供：

（1）提供資安合規之數位工具，包括合規管理軟體 （CMS）及合規文件草擬工具。

（2）提供中小企業所需的資源及平台，包括資安指引、最佳實踐和量身定制的建議。

（3）提供系統管理員、資安營運中心執行者和滲透測試人員等相關培訓課程。

（4）提供資安攻擊和防禦工具，包括漏洞掃描器、滲透測試工具，及新一代的SIEM/IPS/IDS 解決方案。

（5）提供能偵測中小企業網路中漏洞及異常情況的人工智慧系統。

本文與信傳媒同步刊登

作者為元智大學資管系專任助理教授，兼任台灣駭客協會理事