歐盟 CRA 規定主要列於附錄 I。除此之外，另有 4 份附錄文件：

• 附錄 II - 說明每種產品需隨附的文件。
• 附錄 III - 提供兩類產品範例。
• 附錄 IV - 概列歐盟符合性聲明。
• 附錄 V - 列出每種產品需隨附的技術文件。

歐盟聯合研究中心 (JRC) 與歐盟網路安全局 (ENISA) 共同發表一份文件，說明 CRA 規定與包括 EN IEC 62443 在內的現有業界標準的對應關係。這些免費文件列於：enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping，可為已採用其中一項標準的公司提供實用指南。

附錄 I 分為兩節。第 1 節探討產品屬性，第 2 節探討供應商如何因應發現到的漏洞。

(1) 含數位元件產品的設計、開發與生產方式，應確保達到因應風險所需的網絡安全水平；

(2) 含數位元件產品在提供時不得包含任何可利用的已知漏洞；

(3) 根據第 10 條第 2 項提到的風險評估，含數位元件產品在情況適用時應：

(a) 隨附安全預設設定，並可以重設回原始狀態；

(b) 透過適當控制機制，包括但不限於驗證、身分識別或存取權限管理系統等，確保防止未經授權存取；

(c) 保護已儲存、已傳輸或以其他方式處理的個人或其他資料的機密性，例如透過最新機制為閒置或傳輸中的相關資料加密；

(d) 保護已儲存、已傳輸或以其他方式處理的資料 (包括個人或其他資料、指令、程式和設定) 的完整性，以免遭未經使用者授權的操作或修改，並回報毀損情況；

(e) 僅處理適當、相關且對產品預期用途必要的個人或其他資料 (「資料最小化」)；

(f) 保護必要功能的可用性，包括對拒絕服務攻擊的彈性與減緩能力；

(g) 儘可能減少自身對其他裝置或網路所提供服務可用性的負面影響；

(h) 設計、開發與生產方式應能夠限制攻擊面，包括外接介面；

(i) 設計、開發與生產方式應能夠透過適當的漏洞利用減緩機制與技術，減少事件的影響；

(j) 透過記錄及/或監控相關內部活動，包括資料、服務或功能的存取或修改，提供安全相關資訊；

(k) 確保可透過安全性更新來解決漏洞，包括在適用情況下自動進行更新，並通知使用者可用更新。

如正在開發的測試系統需遵守這些規定，則需採用符合第一項規定的開發流程。目前有數種安全開發框架可供使用，包括《Microsoft 安全開發生命週期》與《NIST 800-218》記錄的《美國政府安全軟體開發框架》。這些框架雖非針對 LabVIEW 或 TestStand 等測試系統或產品所開發，但也包含適用於任何系統開發的一般原則。可使用這些框架為團隊建立一個符合 CRA 規定的流程。

規劃測試系統功能時，需要考慮 CRA 的其他規定。需制定計畫，控制使用者與外部系統對測試系統的存取權限。需辨別哪些資料需透過加密來保護，以及如何對資料加密。需開發防禦機制來抵禦攻擊。需將活動記錄至稽核紀錄中。此外，也需為系統元件規劃安全性更新。

這項工作會對開發團隊帶來額外負擔，因此需在專案規劃階段仔細考量額外成本。與客戶共同合作了解安全選項，以及確認由誰負責系統部署後的更新，以維護系統安全。

請務必注意，必須在系統層級檢視安全性。某些元件無法單獨符合上述所有規定。不過結合系統其他部分後，即能彌補這些差距，進而在整體上呈現完整的系統安全性。

最後，請不要低估提供完整安全說明文件的價值與心力。應記錄系統是否符合 CRA 規定。此外，也應納入說明文件，以將系統還原至安全的基準設定 - 如果系統遭到攻擊停用，這將是使系統恢復的一項重要資源。說明文件亦可用於確保系統與安全設定無偏差。

含數位元件產品的製造商應：

(1) 找出並記錄產品中的漏洞與元件，包括以常用且機器可讀的格式編寫軟體材料清單，且至少涵蓋產品的頂層相依項；

(2) 針對含數位元件產品所面臨的風險，儘速解決並修正漏洞，包括提供安全性更新；

(3) 對含數位元件產品的安全性，定期進行有效測試與審查；

(4) 提供安全性更新後，公開揭露固定漏洞的相關資訊，包括漏洞說明、可讓使用者識別含數位元件產品被影響的相關資訊、漏洞的影響、其嚴重程度，以及協助使用者修正漏洞的相關資訊；

(5) 制定並執行已經過協調的漏洞揭露政策；

(6) 採取措施，協助分享其含數位元件產品和這些產品所含第三方元件潛在漏洞的相關資訊，包括提供聯絡地址，以回報在含數位元件產品中發現的漏洞；

(7) 提供機制，以安全地為含數位元件產品分配更新，確保能及時修正或減緩可利用的漏洞；

(8) 確保在提供安全性修補程式或更新以解決已知安全問題時，立即免費分發這些修補程式或更新，並隨附諮詢訊息向使用者提供相關資訊，包括可能採取的行動。

系統隨附說明文件可能需要包含 SBOM。SBOM 包含系統的所有軟體元件。在近期發生的攻擊中，各家公司都在緊急尋找元件，以識別哪些系統含有會遭到攻擊的軟體。SBOM 可讓公司維護軟體清單，比較清單與回報的問題，並管理有問題的系統。

更多的 SBOM 將讓使用者更清楚地了解，其系統在哪些方面容易受到攻擊。我們會更頻繁地提醒供應商提供安全性更新。CRA 規定供應商在交付產品或系統後 5 年內提供這項更新 - 您的團隊需要制定計畫以提供支援。

整體而言，這些 CRA 規定可以提升測試系統的安全防禦能力。但這也增加系統開發人員的工作量，提高他們對 NI 等供應商的期望。

了解 NI 如何提供資源，協助您的團隊滿足這些期望。

• 訂閱安全公告
• 下載安全更新項目
• 回報安全問題