歐盟授權代表 (EU AUTHORIZED REPRESENTATIVE)

為什麼非歐盟製造商需要歐盟授權代表?

歐盟法規要求，在歐洲市場上銷售的產品必須有一個設立於歐盟境內、主管機關可聯繫的負責經濟營運者。市場監督規則 (EU) 2019/1020 將此列為基本義務：產品在歐盟市場上架前，必須有一個設立於歐盟的實體為其負責。如果您在歐盟以外製造硬體或軟體並銷往歐盟單一市場，這代表您需要一個設立於歐盟的進口商、經銷商，或歐盟授權代表。

若缺少歐盟境內的經濟營運者，您的產品可能在海關遭到攔截、被從網路平台下架，或面臨執法行動卻沒有在地窗口協調應對。隨著歐盟網路安全與產品安全法規持續擴大，擁有可靠的歐盟在地據點不只是形式要求，而是市場准入的必要條件。

歐盟授權代表在 CRA 下的角色

Cyber Resilience Act（規則 (EU) 2024/2847）第 18 條允許製造商透過書面委任指定歐盟授權代表。該委任必須至少涵蓋以下權限：

• 文件保存：在產品投放市場後至少 10 年內（或支援期間，以較長者為準），保存歐盟符合性聲明及技術文件，供市場監督機關查閱。
• 資訊提供：應市場監督機關的合理要求，提供所有必要的資訊與文件，以證明產品的合規性。
• 與主管機關合作：就委任範圍內產品相關的風險處理措施，與市場監督機關配合。

歐盟授權代表並不承擔製造商核心的產品開發與安全義務（第 13(1) 至 (11) 條、第 13(12) 條第一款及第 13(14) 條明確排除於委任範圍外）。製造商仍然對產品設計、開發、漏洞處理及安全更新負全責。

涉及歐盟授權代表的相關法規

多項歐盟法規要求或允許非歐盟製造商指定歐盟授權代表：

• Cyber Resilience Act (CRA) – 規則 (EU) 2024/2847。第 18 條允許製造商透過書面委任為具數位元素的產品指定歐盟授權代表。雖然 CRA 本身使用「得」一詞，但 CRA 所修訂的市場監督規則 (EU) 2019/1020 要求歐盟市場上的產品必須有一個設立於歐盟的經濟營運者。
• 無線電設備指令 (RED) – 指令 2014/53/EU。第 11 條同樣允許製造商透過書面委任指定歐盟授權代表。對於非歐盟的無線電及無線設備製造商，歐盟授權代表負責保存符合性聲明及技術文件，並與各國市場監督機關合作。
• EU AI Act – 規則 (EU) 2024/1689。與 CRA 和 RED 不同，AI Act 有明確強制要求：第 22 條要求非歐盟的高風險 AI 系統供應商在將系統投放歐盟市場前，必須指定歐盟授權代表。第 54 條將相同義務擴展至通用型 AI 模型供應商。
• 一般產品安全規則 (GPSR) – 規則 (EU) 2023/988。第 16 條要求歐盟市場上的每件消費性產品都必須有一個設立於歐盟的「負責人」。歐盟授權代表是履行此角色的方式之一，也可透過歐盟進口商或經銷商達成。該規則自 2024 年 12 月 13 日起施行。

CRA 重要合規時程

• 2026 年 6 月 11 日：合規性評估機構通知要求生效。進口商、經銷商及歐盟授權代表須確認歐盟符合性聲明草案及技術文件已備妥。
• 2026 年 9 月 11 日：漏洞與事件通報義務開始強制施行。製造商須透過 ENISA 的單一通報平台，向指定的 CSIRT 通報遭積極利用的漏洞。
• 2027 年 12 月 11 日：CRA 所有要求全面適用。具數位元素的產品須符合所有基本網路安全要求，並取得 CE 標誌後方可投放歐盟市場。

我們的所在地與歐盟據點

Meroi Security 在荷蘭設立公司，並於荷蘭工商會完成登記，為您的歐盟授權代表需求提供穩定的歐盟法律基礎。我們的荷蘭登記使我們能直接對接當地市場監督基礎設施，並位於歐盟法規框架之中。

我們也在台灣設有營運據點，這代表我們了解亞洲製造與產品開發的實際狀況。這有助於我們彌合非歐盟製造商與歐洲主管機關之間有時存在的溝通落差。

登記地址：
Meroi Security
Pastor van Arslaan 6A
5622CK Eindhoven
Netherlands

KVK-nummer： 77783077
BTW-id： NL003236261B11

服務範圍與限制

在此先說明這項服務涵蓋的範圍：擔任歐盟授權代表意味著我們代表您承擔特定且明確定義的法規義務，但這不會將製造商的責任轉移給我們。您仍須對產品安全、漏洞管理、更新發布及 CRA 與相關法規對製造商施加的所有其他義務負責。

我們也不是驗證機構 (Notified Body) 或合規性評估機構。如果您的產品需要第三方合規性評估（例如 CRA 第二類重要產品或關鍵產品），該評估必須由經認可的驗證機構執行。我們可以協助協調該流程，但我們不執行評估本身。