欧盟CRA要求主要在附录I中定义。还有额外四个附录文档：

• 附录II―描述每个产品应包含的文档。
• 附录III―提供两类产品的范例。
• 附录IV―概述欧盟合规声明。
• 附录V―列出每个产品应包含的技术文档。

欧盟联合研究中心(JRC)和欧盟网络安全局(ENISA)发布了一份文档，其中概述了如何将CRA要求与现有行业标准（包括EN IEC 62443）进行对应。该免费文档位于enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping，对于已经采用这些标准的公司很有指导意义。

附录I分为两个部分。第1部分用于介绍产品特性，第2部分则用于介绍供应商如何应对发现的漏洞。

(1)具有数字元素的产品应确保在设计、开发和生产环节根据风险情况采取适当的网络安全保障措施；

(2)具有数字元素的产品在交付时不得存在任何已知可利用的漏洞；

(3)在第10条第(2)款所述风险评估的基础上，并在适用的情况下，具有数字元素的产品应当：

(a)在交付时采用默认安全配置，包括将产品恢复到原始状态的可能性；

(b)通过适当的控制机制（包括但不限于身份验证、身份识别或访问管理系统）确保防止未经授权的访问；

(c)通过最先进的机制对静态或传输中的相关数据进行加密，以保证所存储、传输或以其他方式处理的数据（包括个人数据和其他数据）的保密性；

(d)保护所存储、传输或以其他方式处理的数据（包括个人数据和其他数据）、命令、程序和配置的完整性，以防止出现任何未经用户授权的篡改或修改行为，并报告数据损坏情况；

(e)仅处理与产品预期用途相关的适当、正确且必要的数据（包括个人数据和其他数据），即实现“数据最小化”；

(f)保证基本功能可用，包括提供抵御服务拒绝攻击的弹性和缓解措施；

(g)尽量减少其自身对其他设备或网络所提供服务的可用性的负面影响；

(h)在设计、开发和生产过程中对攻击面（包括外部接口）进行限制；

(i)在设计、开发和生产过程中采用适当的漏洞来利用缓解机制和技术降低事件的影响；

(j)通过记录和/或监控相关内部活动（包括数据、服务或功能的访问或修改）提供安全相关信息；

(k)确保漏洞问题可通过安全更新得到解决，具体方法包括自动更新以及向用户发出可用更新通知（如适用）。

如果您正在开发需要满足这些要求的测试系统，则需采用符合附录I第1部分要求的开发流程。目前有多种安全开发框架可供选择，包括Microsoft Secure Development Lifecycle以及US Government Secure Software Development Framework；这些框架均已记录在NIST 800-218中。虽然这些框架并非专门面向LabVIEW或TestStand等测试系统或产品进行开发，但它们仍然符合适用于任何系统开发工作的一般原则。您可利用这些框架为团队构建一个符合CRA要求的流程。

您在规划测试系统的功能时，需要考虑CRA的额外要求。您需要规划用户和外部系统对测试系统的访问控制。您需要确定哪些数据需要通过加密进行保护，并确定这些数据的加密方式。您需要开发能够抵御攻击的防御措施。您需要将活动记录到审计日志中。您还需要为系统组件制定安全更新计划。

这项工作会给开发团队带来额外的负担，因此您需要在项目规划阶段仔细考虑由此带来的额外成本。请与客户一起了解有关安全性的各种选择，以及谁将负责部署后的系统更新以维持系统的安全性。

请注意，必须从系统层面考虑安全性。某些组件无法单独满足所有这些要求，但在与其他系统部分结合使用时，差距部分应得到弥补，从而在系统层面实现全面安全。

最后，不要低估提供完整安全文档的价值和工作量。您需要记录系统如何满足CRA要求。此外，您还应当具备可将系统恢复为基线安全配置的文档；如果系统因遭受攻击而被禁用，该文档将成为一项关键资源。该文档还可用于确保系统的调整不会偏离安全配置。

具有数字元素的产品制造商应当：

(1)识别并记录产品中包含的漏洞和组件，具体方法包括以常用且机器可读的格式编制软件物料清单，且清单至少应涵盖产品的顶层依赖关系；

(2)针对含数字元素产品所面临的风险，立即处理并修复相关漏洞，具体方法包括提供安全更新；

(3)定期对含数字元素产品的安全性进行有效的测试和审查；

(4)在发布安全更新时，公开披露已修复漏洞的相关信息，包括漏洞描述、可帮助用户识别所涉含数字元素产品的信息、漏洞的影响、严重程度以及可帮助用户修复漏洞的信息；

(5)制定并执行协调漏洞披露的相关政策；

(6)采取措施来促进含数字元素产品（包括其中的第三方组件）中潜在漏洞信息的共享，具体方法包括提供联系地址，以供用户在发现含数字元素产品中存在漏洞后进行报告；

(7)提供安全分发含数字元素产品相关更新的机制，以确保及时修复或缓解可利用的漏洞；

(8)确保当存在针对已识别安全问题的安全补丁或可用更新时，能够及时且免费分发这些补丁或更新，并在其中附带可为用户提供相关信息（包括可能采取的行动）的配置指南消息。

系统随附的文档可能还需包含一个SBOM。SBOM应包含系统所有的软件组件。在最近的网络攻击中，很多公司不得不紧急寻找并识别哪些系统中安装了存在安全漏洞的软件组件。SBOM为这些公司提供了一种维护软件库存的方式；用户能够将该库存与已报告的问题进行对比，并对包含这些问题的系统进行管理。

详细的SBOM将使终端用户更加了解容易对其系统构成威胁的攻击方式，并推动供应商更加频繁地推出安全更新。CRA要求供应商在交付产品或系统后的5年内提供此类更新，因此您的团队需要制定相应计划以提供支持。

综合而言，这些CRA要求将提高测试系统的安全防御能力，但同时也会增加系统开发人员的工作量并提升他们对NI等供应商的预期。

了解NI如何提供资源，以帮助您的团队满足这些预期。

• 订阅安全公告
• 下载安全更新
• 报告安全问题