自动安全更新功能。软件更新将需要以安全补丁的形式提供,不提供功能更新,以使更新更频繁,对客户的影响更小。
及时通知 CSIRT 和 ENISA,以便充分了解漏洞和评估情况,并在适当的时候向欧洲漏洞数据库披露,
产品发布后至少 10 年内提供更新和文档支持。
此外,CRA 中的执法条款规定监控机构可以要求提供相关的软件物料清单 (SBOM),以确定产品类别的软件依赖性评估。
这只是 CRA 协议中一些关键要求的示例,但强调了开始关注软件开发生命周期 (SDLC) 并从开发/制造方面的早期阶段灌输良好实践的关键立法。
另一方面,NIS2 侧重于最终用户或企业实体,确保在部署网络技 巴林电子邮件列表 术时实施适当的风险管理技术。NIS2 指令以原始 NIS 指令为基础。所有欧盟成员国将在 10 月 17 日之前通过立法,将 NIS2 指令纳入国家法律。虽然《欧盟网络安全法》侧重于国家实体,但 NIS2 也适用于私人组织。NIS2 对私人组织有两大影响:
实施既定的风险管理战略(第 21 条)
在发现重大网络安全事件后 24 小时内报告,并要求在 72 小时内和 1 个月内采取补救措施并提交详细的最终报告。
此外,如果发现重大过失,NIS2 还包括最高管理层的个人责任,以及对不合规行为的更高行政罚款。确保未能实施适当的程序会附带罚款和责任,这将有助于确保 C-SCRM 在组织的管理战略中占据关键地位。
从美国的角度来看,美国国防部 (DoD) 推出的 CMMC 框架旨在增强国防工业基地 (DIB) 中私营企业的安全态势。它包括五个成熟度级别,供组织根据政府工作招标合同达到。每个级别都有必须满足的特定网络安全实践和流程。如果不遵守 CMMC 框架,组织将不被允许参与今后的新合同机会。
这些法规很好地说明了需要解决网络安全软件供应链的双方问题,并应用财务和/或报告要求来执行。还有许多其他法规会影响 C-SCRM 流程,但许多现有法规都是指导方针和框架,没有报告或执行要求。