cra-compliance-lab/awesome-cra-compliance

# 优秀的CRA合规资源 [](https://awesome.re) [](https://creativecommons.org/publicdomain/zero/1.0/) [](CONTRIBUTING.md) CRA 是欧盟范围内首个横向监管法规，为所有带有数字元素的硬件和软件产品制定强制性网络安全要求。它于 **2024年12月10日** 生效，其漏洞报告义务始于 **2026年9月11日**，全部要求则于 **2027年12月11日** 全面适用。本列表收集了供工程师、评估师、律师和管理者在开展 CRA 合规工作时最有用的公开资源。 ## 目录 - [网络弹性法案](#the-cyber-resilience-act) - [官方法规与立法](#official-regulation--legislation) - [委员会指南与常见问题解答](#commission-guidance--faq) - [授权决定与实施决定](#delegated--implementing-acts) - [时间表与里程碑](#timeline--milestones) - [标准与标准化](#standards--standardisation) - [M/606 标准化请求](#m606-standardisation-request) - [横向标准（CEN/CLC JTC 13）](#horizontal-standards-cenclc-jtc-13) - [纵向标准（ETSI EN 304-6xx 系列）](#vertical-standards-etsi-en-304-6xx-series) - [参考标准（ISO/IEC、IEC 62443、BSI TR-03183）](#reference-standards-isoiec-iec-62443-bsi-tr-03183) - [符合性评估与认证](#conformity-assessment--certification) - [EUCC（通用准则）](#eucc-common-criteria) - [符合性评估程序（模块 A、B+C、H）](#conformity-assessment-procedures-modules-a-bc-h) - [漏洞处理与报告](#vulnerability-handling--reporting) - [SBOM 与透明度](#sbom--transparency) - [协调漏洞披露](#coordinated-vulnerability-disclosure) - [ENISA 指南](#enisa-guidelines) - [产品类别深度解析（网络研讨会与幻灯片）](#product-category-deep-dives-webinars--slides) - [CEN-CENELEC 横向网络研讨会](#cen-cenelec-horizontal-webinars) - [ETSI 纵向标准深度解析（STAN4CRA）](#etsi-vertical-standard-deep-dives-stan4cra) - [问答与研讨会报告](#qa-and-workshop-reports) - [与其他欧盟法规的关系](#relationship-to-other-eu-regulation) - [欧盟 CRA 集群项目](#eu-cra-cluster-projects) - [书籍与长篇参考资料](#books--long-form-references) - [学术与研究](#academic--research) - [社区、门户与延伸阅读](#community-portals--further-reading) - [贡献](#contributing) - [许可证](#license) - [维护者](#maintainer) ## 网络弹性法案 ### 官方法规与立法 权威资料。在阅读第二手材料前务必仔细阅读这些内容。 - [法规 (EU) 2024/2847 — 网络弹性法案](https://eur-lex.europa.eu/eli/reg/2024/2847/oj) — 完整的法律文本：71 条正文，8 个附件。*必读内容*。本地副本：`docs/eu/cra-regulation-2024-2847.pdf`。 - [关于重要产品和关键产品的实施条例](https://eur-lex.europa.eu/eli/reg_impl/2025/2392/oj/eng) — 明确了哪些产品类别属于附件 III（重要产品，I/II 类）和附件 IV（关键产品）。本地副本：`docs/eu/important-and-critical-products-regulation.pdf`。 - [CRA 影响评估（欧洲委员会，2022）](https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-impact-assessment) — 委员会的影响评估报告（主报告、附件、Part 3 及摘要），有助于理解每项义务背后的政策逻辑。 ### 委员会指南与常见问题解答 非强制性但极具影响力。认证机构与市场监管机构会参考这些内容。 - [关于法规 (EU) 2024/2847 的应用指南](https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act_en) — 委员会的官方应用指南，解释了范围（第 2 条）、产品类别（第 7-8 条）、制造商义务（第 13 条）以及符合性路径（第 32 条）。本地副本：`docs/eu/commission-guidance-on-cra-application.pdf`。 - [CRA 常见问题解答（欧洲委员会）](https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-implementation-frequently-asked-questions) — 关于范围、定义、时间表和常见制造商问题的快速答案。本地副本：`docs/eu/cra-faq.pdf`。 - [CRA 要求 → 标准映射](https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping) — 委员会官方发布的每项 CRA 必要要求与其对应的预期协调标准映射。本地副本：`docs/eu/cra-requirements-to-standards-mapping.pdf`。 - [欧盟供应链工具箱](https://digital-strategy.ec.europa.eu/en/library/toolbox-improve-ict-supply-chain-security) — 关于供应链安全尽职调查的委员会指南，涉及第 13(11) 条及附件 I 第 II 部分（1）SBOM。本地副本：`docs/eu/eu-supply-chain-toolbox.pdf`。 ### 授权决定与实施决定 - [标准化请求 M/606](https://ec.europa.eu/growth/tools-databases/enorm/mandate/606_en) — CEN、CENELEC 和 ETSI 制定支持 CRA 的协调标准的正式授权。本地副本：`docs/eu/M606-standardisation-request-work-programme.pdf`。 - [废除 RED 网络安全要求的授权决定 (C(2026) 778)](https://ec.europa.eu/transparency/documents-register/detail?ref=C(2026)778&lang=en) — 从 2027 年 12 月 11 日起，废除 RED (2014/53/EU) 第 3(3)(d-f) 条中与 CRA 重叠的部分。本地副本：`docs/eu/red-delegated-act-repeal.pdf`。 ### 时间表与里程碑 | 日期 | 里程碑 | |---|---| | 2024 年 12 月 10 日 | CRA 生效 | | 2026 年 6 月 11 日 | 指定认证机构（第 35 条起） | | 2026 年 9 月 11 日 | 报告义务适用（第 14 条：活跃利用漏洞、严重事件） | | 2027 年 12 月 11 日 | 所有其他义务适用 — 全面 CE 标志要求 | | 至 2027 年 12 月 11 日 | 现有 RED 网络安全制度（授权决定 2022/30）仍适用于在范围内的无线电设备 | ## 标准与标准化 ### M/606 标准化请求 M/606 授权定义了 **40+ 项协调标准** — 4 项横向标准（适用于所有产品）和 36+ 项纵向标准（按产品类别划分）。符合协调标准可推定符合其所覆盖的 CRA 必要要求（第 27 条）。 - [STAN4CRA 门户](https://www.stan4cra.eu) — CEN、CENELEC 和 ETSI 发布每项 CRA 协调标准开发进度的官方追踪门户。*请将其加入书签*。 - [CYBERSTAND 项目](https://cyberstand.eu) — 欧盟资助的倡议，动员 200 多名专家参与 CRA 标准制定；跟踪专家参与和工作组产出。 ### 横向标准（CEN/CLC JTC 13） `prEN 40000-1-x` 系列涵盖适用于所有 CRA 产品的要求。当前草案正在公开征求意见；最终版本将在官方期刊中引用。 - [prEN 40000-1-1 — 一般原则与通用要求](https://www.dinmedia.de/en/draft-standard/din-en-40000-1-1/396310000) - CRA 的范围、定义、符合性框架。*当前为 CEN-CLC JTC 13 下的草案*。 - [prEN 40000-1-2 — 网络安全要求（第 I 部分点 1）](https://www.dinmedia.de/en/draft-standard/din-en-40000-1-2/396310071) - 涵盖“无可知利用漏洞”义务及安全设计要求。*出版后付费；公开征求意见期间免费*。 - [pr 40000-1-3 — 漏洞处理（第 II 部分）](https://www.dinmedia.de/en/draft-standard/din-en-40000-1-3/398007938) - 漏洞管理、SBOM、协调披露、安全更新的运营要求。*草案；参见 WG-9 PT3 工作坊材料*。 - [prEN 40000-1-4 — 安全控制（第 I 部分点 2）](https://standards.cencenelec.eu/) - 实施第 I 部分 (2)(a)–(m) 的 13 点安全控制目录。 ### 纵向标准（ETSI EN 304-6xx 系列） 基于 ETSI TC CYBER 的每类产品标准。这些标准映射到 **附件 III（重要产品）** 类别。最终版本将免费发布于 [ETSI 标准门户](https://www.etsi.org/standards)。 - [EN 304-617 — 浏览器](https://www.etsi.org/deliver/etsi_en/304600_304699/304617/) - 独立及嵌入式浏览器的网络安全要求。*重要产品 I 类，免费草案*。 - [EN 304-618 — 密码管理器](https://www.etsi.org/deliver/etsi_en/304600_304699/304618/) - 密码管理产品的要求；涵盖凭证存储、主密码处理、浏览器集成威胁。*重要产品 I 类*。 - [EN 304-619 — 防病毒/反恶意软件](https://www.etsi.org/deliver/etsi_en/304600_304699/304619/) - 查找、移除或隔离恶意软件的软件的网络安全要求。*重要产品 I 类*。 - [EN 304-620 — VPN 产品](https://www.etsi.org/deliver/etsi_en/304600_304699/304620/) - 虚拟专用网络功能产品的要求。*重要产品 I 类*。 - [EN 304-622 — SIEM 系统](https://www.etsi.org/deliver/etsi_en/304600_304699/304622/) - 安全信息与事件管理系统要求。*重要产品 I 类*。 - [EN 304-623 — 引导管理器](https://www.etsi.org/deliver/etsi_en/304600_304699/304623/) - 包括 UEFI 固件和多阶段引导加载程序在内的引导管理器要求。*重要产品 I 类*。 - [EN 304-624 — PKI 与数字证书签发软件](https://www.etsi.org/deliver/etsi_en/304600_304699/304624/) - 公钥基础设施与证书签发软件。*重要产品 I 类*。 - [EN 304-625 — 物理与虚拟网络接口](https://www.etsi.org/deliver/etsi_en/304600_304699/304625/) - 物理及虚拟网络接口产品的网络安全要求。*重要产品 I 类*。 - [EN 304-626 — 操作系统](https://www.etsi.org/deliver/etsi_en/304600_304699/304626/) - CRA 对操作系统的要求。*重要产品 I 类*。 - [EN 304-627 — 路由器、调制解调器和交换机](https://www.etsi.org/deliver/etsi_en/304600_304699/304627/) - 涵盖面向互联网的路由器、调制解调器和交换机。*重要产品 I 类*。 - [EN 304-631 — 智能家庭虚拟助手](https://www.etsi.org/deliver/etsi_en/304600_304699/304631/) - 语音助手及智能家庭中枢的要求。 - [EN 304-632 — 智能家庭安全产品](https://www.etsi.org/deliver/etsi_en/304600_304699/304632/) - 摄像头、智能锁、报警设备。 - [EN 304-633 — 联网玩具](https://www.etsi.org/deliver/etsi_en/304600_304699/304633/) - 儿童产品（附件 III 第 18 项；序言 10）。 - [EN 304-634 — 个人穿戴设备](https://www.etsi.org/deliver/etsi_en/304600_304699/304634/) - 智能手表、健身追踪器等穿戴设备。 - [EN 304-635 — 虚拟化与容器](https://www.etsi.org/deliver/etsi_en/304600_304699/304635/) - 虚拟机监控程序和容器运行时的要求。 - [EN 304-636 — 防火墙、IDS/IPS](https://www.etsi.org/deliver/etsi_en/304600_304699/304636/) - 重要产品 II 类标准。 ### 参考标准（ISO/IEC、IEC 62443、BSI TR-03183） 这些标准被 CRA 指南广泛引用，但本身**并非**协调标准。它们提供方法论和最佳实践。所有标准均为**版权保护**；请从官方目录购买。 - [IEC 62443-4-1 — 安全产品开发生命周期](https://webstore.iec.ch/publication/33615) - 开发安全工业产品的流程要求。常被引用为附件 I 第 I 部分（1）安全设计的基础。*付费标准*。 - [IEC 62443-4-2 — IACS 组件的技术安全要求](https://webstore.iec.ch/publication/34421) - 工业控制产品的组件级安全要求；影响 prEN 40000-1-4 的安全控制。*付费标准*。 - [ISO/IEC 27005:2022 — 信息安全风险管理](https://www.iso.org/standard/80585.html) - 信息安全管理风险评估方法论，被第 13(2) 条引用。*付费标准*。 - [ISO/IEC 29147:2018 — 漏洞披露](https://www.iso.org/standard/72311.html) - 外部漏洞报告的框架；CRA 附件 I 第 II 部分（5）CVD 的参考。*付费标准*。 - [ISO/IEC 30111:2019 — 漏洞处理流程](https://www.iso.org/standard/69725.html) - 内部漏洞处理流程要求；与 29147 配合使用以实现完整的 CVD 生命周期。*付费标准*。 - [ISO/IEC 27036-3:2023 — 供应链 ICT 安全](https://www.iso.org/standard/78906.html) - ICT 供应商关系的信息安全；映射至第 13(11) 条第三方尽职调查。*付费标准*。 - [ISO/IEC TR 5895:2022 — 漏洞披露指南](https://www.iso.org/standard/81981.html) - 29147/30111 的解释性配套文件。*付费标准*。 - [ISO/IEC 27001:2022 — 信息安全管理体系](https://www.iso.org/standard/27001) - 组织级 ISMS；被 CRA 符合性评估引用，用于制造商的质量流程。*付费标准*。 - [ETSI TS 102 165-1 — 威胁、漏洞、风险分析 (TVRA)](https://www.etsi.org/deliver/etsi_ts/102100_102199/10216501/) - ETSI 针对通信系统的安全分析方法。*可从 ETSI 免费下载*。 - [BSI TR-03183-1 — 制造商及产品网络弹性要求](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html) - 德国联邦信息安全办公室的技术指南 — 第 1 部分：通用要求，是附件 I 的结构化配套。*免费下载*。 - [BSI TR-03183-2 — 软件物料清单 (SBOM)](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html) - 第 2 部分：SBOM 要求与格式。*免费下载；附件 I 第 II 部分（1）的权威参考*。 - [BSI TR-03183-3 — 漏洞披露与报告](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html) - 第 3 部分：漏洞报告，直接映射至 CRA 第 14 条及附件 I 第 II 部分。*免费下载*。 ## 符合性评估与认证 ### EUCC（通用准则） 对于关键产品（附件 IV：HSM、智能电表网关、智能卡）和可选的重要产品，EUCC 认证在“实质”保障级别提供符合 CRA 本质要求的推定（第 27(8)-(9) 条）。 - [法规 (EU) 2024/482 — EUCC 方案](https://eur-lex.europa.eu/eli/reg_impl/2024/482/oj) - 建立 EUCC 方案的实施法规（网络安全法案框架内）。 - [ENISA — 通过 EUCC 实现 CRA（2025 年 1 月）](https://certification.enisa.europa.eu/publications/cyber-resilience-act-implementation-eucc-and-its-applicable-technical-elements_en) - ENISA 的 128 页权威报告，映射 EUCC（TOE、SFRs、SARs、保护配置文件、ITSEFs、CABs）到 CRA 附件 I 要求。*选择 EUCC 作为 CRA 符合性路径的制造商必读*。本地副本：`docs/eu/enisa-cra-implementation-via-eucc.pdf`。 - [ENISA — 详细映射表（附件）](https://certification.enisa.europa.eu/publications/cyber-resilience-act-implementation-eucc-and-its-applicable-technical-elements_en) - 逐行映射每个附件 I 要求到具体 SFRs/SARs。*本地副本：`docs/eu/enisa-c-implementation-via-eucc-annex-mapping-tables.pdf`*。 - [ENISA — EUCC 漏洞管理指南 v1.1](https://certification.enisa.europa.eu/publications/eucc-guidelines-vulnerability-management-and-disclosure-and-eccg-opinion_en) - EUCC 认证产品在认证维护期间如何进行漏洞管理。*本地副本：`docs/eu/enisa-eucc-vulnerability-management-guidelines-v1.1.pdf`*。 - [ISO/IEC 15408 (通用准则)](https://www.iso.org/standard/72891.html) - EUCC 所基于的国际标准。*付费标准*。 - [ISO/IEC 18045 (CEM — 通用评估方法)](https://www.iso.org/standard/72889.html) - 评估者实际测试 CC 目标（ToE）的方法。*付费标准*。 ### 符合性评估程序（模块 A、B+C、H） - [关于产品规则实施的蓝色指南](https://single-market-economy.ec.europa.eu/news/blue-guide-implementation-product-rules-2022-published-2022-06-29_en) - 解释模块 A（自我评估）、模块 B+C（欧盟型式检验）和模块 H（全面质量保证）在 CRA 下的应用。 - [模块 H 下的 CRA — Eurosmart](https://www.eurosmart.com/cyberact-conference-why-full-quality-assurance-module-h-is-a-strategic-path-to-cra-compliance/) - 完整质量保证路径的行业简报。*如有需要请查看本地副本：`docs/eu/Module H under the Cyber Resilience Act Eurosmart.pdf`*。 - [NANDO 数据库 — 认证机构](https://webgate.ec.europa.eu/single-market-compliance-space/notified-bodies) - 欧盟认证机构注册表。随着 CRA 认证机构的指定（自 2026 年 6 月 11 日起），它们将在 NANDO 中列出。 ## 漏洞处理与报告 ### SBOM 与透明度 CRA 附件 I 第 II 部分（1）要求制造商识别并记录组件及其漏洞，包括编制 SBOM。 - [ENISA — CRA SBOM 研究（2025 年 11 月）](https://www.enisa.europa.eu/news/call-for-feedback-advancing-software-supply-chain-security-together) - 关于 SBOM 工具、格式及 CRA 合规性的 ENISA 研究。*重要参考*。 - [CycloneDX — SBOM 生成权威指南](https://cyclonedx.org/guides/OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf) - OWASP 提供的免费开放指南，用于 SBOM 的生成与消费。*推荐起点*。 - [SPDX 规范](https://spdx.dev/specifications/) - 另一种 SBOM 格式（ISO/IEC 5962:2021）。*免费*。 - [SBOM 实施指南（BSI / Fraunhofer）](https://www.bsi.bund.de/) - SBOM 生成与使用的实践指南，由 BSI 和 Fraunhofer 联合撰写。*免费下载*。 - [CISA SBOM 登陆页](https://www.cisa.gov/sbom) - 美国 CISA 关于 SBOM 的资源，与 CRA 方法一致。 ### 协调漏洞披露 - [ENISA — 漏洞披露良好实践指南](https://www.enisa.europa.eu/publications/vulnerability-disclosure) - 多方利益相关者指南，常被引用自第 13(8) 条及附件 I 第 II 部分（5）。*免费下载*。 - [FIRST — PSIRT 服务框架](https://www.first.org/standards/frameworks/psirts/) - 运营产品安全事件响应团队（PSIRT）的框架；对 CRA 漏洞处理义务至关重要。*免费*。 - [OASIS CSAF（通用安全公告框架）](https://csaf.io/) - Siemens、Red Hat、Cisco 等用于漏洞自动化管理的机器可读安全公告格式。*免费开放*。 - **ENISA — 单一报告平台** *(尚未发布 — 占位符)* - 第 14 条要求通过 ENISA 运行的单一报告平台进行早期预警、事件和漏洞报告。ENISA 尚未公布该平台或其技术接口；请关注 [ENISA 公告](https://www.enisa.europa.eu/news)。 ### ENISA 指南 - [ENISA](https://www.enisa.europa.eu/) - 欧盟网络安全局。运营 CSIRT 网络、协调 CRA 报告、运行 EUCC 方案并发布技术指南。*主要机构来源*。 - [欧盟 CSIRT 网络](https://csirtsnetwork.eu/) - 成员国之间的协调事件响应；指定的 CSIRTs 是第 14 条报告的接收方。 ## 产品类别深度解析（网络研讨会与幻灯片） 以下网络研讨会由欧洲标准化组织（CEN、CENELEC、ETSI）及 STAN4CRA 项目制作。幻灯片为公开资源；YouTube 录制版本已直接链接。所有 PDF 均已本地镜像至 `presentations/`。 ### CEN-CENELEC 横向网络研讨会 - [支持网络弹性法案的标准](https://www.youtube.com/watch?v=KVr9zSZ0nUU)（CEN-CENELEC，2025 年 3 月 10 日）— 涵盖 M/606 下的横向与纵向标准。*入门要点*。幻灯片：`presentations/2025-03-10_webinar_cyberresilience_act.pdf`。 - [CRA 深度解析：漏洞处理](https://www.youtube.com/watch?v=o5bgzF8riRw)（CEN-CENELEC-ETSI，2025 年 7 月 22 日）— 深入探讨附件 I 第 II 部分及 prEN 40000-1-3，涵盖 SBOM、CVD、安全更新。幻灯片：`presentations/cen-clc-jtc-13-wg-9_pt3_cra_workshop_2025-07-22.pdf`。 - [CRA 标准解锁：智能卡与安全元件](https://www.youtube.com/watch?v=zyVaaW0bNs4)（CEN-CLC JTC 13 WG 9，2025 年 7 月 25 日）— Annex IV 关键产品（智能卡、安全元件）如何通过 EUCC 满足 CRA 合规。幻灯片：`presentations/2025-07-25_webinar_cra-standards-unlocked-navigating-smartcards-secure-element-compliance-under-cra.pdf`。 - [解锁 CRA 安全控制 — 实施准备](https://www.youtube.com/watch?v=br_iYoo9uak)（CEN TC 224 WG 17，2025 年 9 月 8 日）— 制造商满足附件 I 第 I 部分 (2) 安全控制的具体步骤。幻灯片：`presentations/2025-09-08_webinar_unlocking_cra_security_controls_preparation_for_une_event.pdf`。 - [从 IEC 62443 到 CRA](https://www.youtube.com/watch?v=fClHoC_t44E)（CEN-CENELEC，2025 年 9 月 8 日）— 已对齐 IEC 62443-4-1/4-2 的组织如何高效达成 CRA 合规。幻灯片：`presentations/2025-09-08_webinar_unlocking_cra_iec62443-series-for-cra.pdf`。 - [CRA 标准解锁 — 深度解析（2025 年 10 月）](https://www.youtube.com/watch?v=_C9HGqBT6qw)（CEN-CENELEC，2025 年 10 月 13 日）— 随着基本要求草案成熟，对 CRA 标准的最新解读。幻灯片：`presentations/2025-10-13_webinar_cra-standards-unlocked-navigating-smartcards-secure-element-compliance-under-cra.pdf`。 - [2026 年 1 月深度解析](https://www.youtube.com/watch?v=mprdi2RSoww)（CEN-CENELEC，2026 年 1 月 22 日）— 法规临近生效时的最新指导。幻灯片：`presentations/2025-04-08_cyber-resilience-act-and-the-horizontal-standards-workshop.pdf`。 - [关键基础设施的网络安全要求（智能电表网关）](https://www.youtube.com/watch?v=z4aCSxbHdOU)（CEN-CENELEC，2026 年 2 月 23 日）— Annex IV 关键产品 SMGW 的要求。幻灯片：`presentations/2026-02-23_cra-standards-unlocked-cybersecurity-requirements-for-smgw_final.pdf`。 - [身份管理系统的网络安全要求](https://www.youtube.com/watch?v=mdldrP3Dq1M)（CEN-CENELEC，2026 年 2 月 25 日）— Annex III 第 I 类产品的身份/特权访问要求。幻灯片：`presentations/2026-02-25-webinar_cra-standards-unlocked-cybersecurity-requirements-for-identity-management-systems.pdf`。 -深度解析：智能电表网关（第 1 部分）](https://www.youtube.com/watch?v=oFdbyRgf7d4)（CEN-CENELEC，2026 年 3 月 2 日）— 智能电表网关的技术实现。幻灯片：`presentations/2026-03-02_deepdive_part1-smartmeter-gateways.pdf`。 - [深度解析：通用安全控制（prEN 40000-1-4）](https://www.youtube.com/watch?v=U0I4XVEje34)（CEN-CENELEC，2026 年 3 月 5 日）— 适用于所有 CRA 产品的横向安全控制标准。幻灯片：`presentations/2026-03-05_cra_unlocked_deepdive_securitycontrols_cen-clc-jtc-13-wg-9_pt2.pdf`。 - [深度解析：身份管理系统](https://www.youtube.com/watch?v=sPnvxDujEVg)（CEN-CLC JTC 13 WG 9，2026 年 3 月 18 日）— 与 2 月 25 日网络研讨会配套的深入技术分析。幻灯片：`presentations/2026-03-18_cra_unlocked_cybersecurity_requirements_deep-dive_tc224wg17_cra.pdf`。 ### ETSI 纵向标准深度解析（STAN4CRA） 针对每个 ETSI EN 304-6xx 草案的按产品类别深度解析，由 STAN4CRA 项目制作。 - [深度解析 — EN 304-617 浏览器](https://www.youtube.com/watch?v=RTYrnjoqzaw)（STAN4CRA / ETSI，2026 年 1 月 29 日）— 独立及嵌入式浏览器。幻灯片：`presentations/Browsers Deep Dive Session With Two Dans.pdf`。 - [深度解析 — EN 304-618 密码管理器](https://www.youtube.com/watch?v=IJC-70wlRHA)（STAN4CRA / ETSI，2026 年 1 月 19 日）— 密码管理产品要求。幻灯片：`presentations/Deep Dive Session on Password Managers.pdf`。 - [深度解析 — EN 304-619 防病毒/反恶意软件](https://www.youtube.com/watch?v=LEF9kcAkn5I)（STAN4CRA / ETSI，2026 年 1 月 29 日）— 防病毒软件要求。幻灯片：`presentations/Cybersecurity requirements for software that searches for, removes, or quarantines malicious software. Deep Dive Session.pdf`。 - [深度解析 — EN 304-620 VPN](https://www.youtube.com/watch?v=JXll0Qw0Yp4)（STAN4CRA / ETSI，2026 年 1 月 15 日）— VPN 产品要求。幻灯片：`presentations/Deep Dive Session on VPNs.pdf`。 - [深度解析 — EN 304-622 SIEM](https://www.youtube.com/watch?v=3PKGpO0Fs-I)（STAN4CRA / ETSI，2026 年 1 月 26 日）— SIEM 系统要求。幻灯片：`presentations/Cybersecurity requirements for security information and event management (SIEM) systems.pdf`。 - [深度解析 — EN 304-623 引导管理器](https://www.youtube.com/watch?v=pVeg70coS5s)（STAN4CRA / ETSI，2026 年 1 月 19 日）— 引导管理器（含 UEFI）要求。幻灯片：`presentations/EN 304 623 Boot Managers Deep Dive Session.pdf`。 - [深度解析 — EN 304-624 PKI 与证书签发](https://www.youtube.com/watch?v=Jq1D0VexKVc)（STAN4CRA / ETSI，2026 年 1 月 15 日）— PKI 与证书签发软件要求。幻灯片：`presentations/Deep Dive Session on PKI and digital certificate issuance software.pdf`。 - [深度解析 — EN 304-624 网络管理系统 (NMS)](https://www.youtube.com/watch?v=Q8Pp3mk1Ne8)（STAN4CRA / ETSI，2026 年 1 月 29 日）— 网络管理产品要求。幻灯片：`presentations/Deep Dive Session on Network Management Systems (NMS).pdf`。 - [深度解析 — EN 304-625 物理/虚拟网络接口](https://www.youtube.com/watch?v=SDeJE2Uf96k)（STAN4CRA / ETSI，2026 年 1 月 29 日）— 网络接口产品要求。幻灯片：`presentations/Deep Dive Session on Physical and Virtual Network Interfaces.pdf`。 - [深度解析 — EN 304-626 操作系统](https://www.youtube.com/watch?v=ByQSbsXCtdA)（STAN4CRA / ETSI，2026 年 1 月 26 日）— 操作系统要求。幻灯片：`presentations/Cybersecurity requirements for Operating Systems Deep Dive Session.pdf`。 - [深度解析 — EN 304-627 路由器、调制解调器、交换机](https://www.youtube.com/watch?v=j5ND5vv8wZc)（STAN4CRA / ETSI，2025 年 12 月 17 日）— 互联网面向设备要求。幻灯片：`presentations/Cybersecurity requirements for routers, modems intended for the connection to the internet, and switches Deep Dive Session.pdf`。 - [深度解析 — EN 304-636 防火墙、IDS/IPS](https://www.youtube.com/watch?v=XqSl61ud3PA)（STAN4CRA / ETSI，2025 年 12 月 22 日）— 重要产品 II 类标准。幻灯片：`presentations/Deep Dive Session on Firewalls.pdf`。 - [深度解析 — 消费物联网纵向标准](https://www.youtube.com/watch?v=TyEIeUX2u-M)（STAN4CRA / ETSI，2026 年 2 月 9 日）— 智能家居设备、联网玩具、可穿戴设备。幻灯片：`presentations/Deep dive session Consumer IoT Vertical Standards.pdf`。 - **深度解析 — 硬件设备（含安全模块）** (STAN4CRA / ETSI) - HSM 及专用安全功能产品。*录制链接暂未提供*；幻灯片：`presentations/cra-standards-unlocked_deep-dive_cybersecurity-requirements-for-hardware-devices-with-security-boxes.pdf`。 - **深度解析 — Ivan TC224/WG17 CRA v4.1** (ETSI, 2025 年 7 月 25 日) - ETSI TC 224 WG 17 技术简报。*录制链接暂未提供*；幻灯片：`presentations/2025-07-25_ivan_tc224wg17_cra_v41_webinar.pdf`。 ## 问答与研讨会报告 - [CRA 深度解析 — Q&A 报告（2025 年 10 月 13 日）](presentations/q-a_report_webinar_cra_unlocked_deep_dive_2025-10-13.pdf) - 2025 年 10 月深度解析的问答记录。 - [智能电表网关网络研讨会 — Q&A 报告（2026 年 2 月 23 日）](presentations/q-a_report_webinar_cra_unlocked_smart_meter_gateways_2026-02-23.pdf) - 该网络研讨会的问答记录。 - [Q&A 报告 01/08](presentations/qa-report-0108.pdf) - 额外汇总问答。 ## 与其他欧盟法规的关系 CRA 并非孤立存在；邻近法规对其进行了界定、预设或重叠。 - [NIS2 指令 (EU) 2022/2555](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) - 覆盖重要及关键 *实体*。CRA 覆盖 *产品*。许多制造商同时受两者约束。NIS2 事件报告（第 23 条）与 CRA 报告义务（第 14 条）并行。 - [无线电设备指令 2014/53/EU 及授权决定 (EU) 2022/30](https://ec.europa.eu/growth/sectors/electrical-engineering/red-directive_en) - RED 网络安全要求适用至 2027 年 12 月 11 日；之后被 CRA 取代。授权决定废除文本：`docs/eu/red-delegated-act-repeal.pdf`。 - [法规 (EU) 2024/1689 — 人工智能法案](https://eur-lex.europa.eu/eli/reg/2024/1689/oj - 第 8 条 CRA 与 AI 法案协调：既是高风险 AI 系统又是 PDE 的产品，可遵循 AI 法案的符合性路径，该路径亦满足 CRA 要求。 - [法规 (EU) 2023/1230 — 机械法规](https://eur-lex.europa.eu/eli/reg/2023/1230/oj) - 机械的网络安全要求。CRA 通常排除受特定部门网络安全法规覆盖的项目（第 2(2) 条）。 - [法规 (EU) 2017/745 — 医疗器械法规 (MDR)](https://eur-lex.europa.eu/eli/reg/2017/745/oj) - 排除在 CRA 范围之外（第 2(2)(a) 条）；MDR 网络安全要求适用。 - [法规 (EU) 2019/2144 — 车辆通用安全](https://eur-lex.europa.eu/eli/reg/2019/2144/oj) 及 [UN R155](https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security) - 车辆网络安全不在 CRA 范围内；适用 UN R155 及 WP.29。 - [法规 (EU) 2016/679 — 通用数据保护条例 (GDPR)](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - 数据保护补充。数据处理安全（第 32 条 GDPR）与 CRA 本质要求相互作用。 - [网络安全法案 (EU) 2019/881](https://eur-lex.europa.eu/eli/reg/2019/881/oj) - 建立 EUCC 方案的框架；被 CRA 第 8 条及第 27(8)-(9) 条引用。 ## 欧盟 CRA 集群项目 十二个欧盟资助项目支持 CRA 的推进，涵盖标准制定到中小企业工具。 - [CYBERSTAND](https://cyberstand.eu) - 网络安全标准化。赋能欧洲利益相关方参与 CRA 标准制定；遴选 200 多名专家，资助 150 万欧元用于协调标准工作组。协调 CEN/CENELEC/ETSI。*标准贡献的主要入口*。 - [STAN4CRA](https://www.stan4cra.eu) - 面向网络弹性法案的标准。ESO 门户追踪 M/606 下所有协调标准的开发进度。 - [CRA-AI](https://cyberstand.eu/cra-cluster/cra-ai-cyber-resilience-act-and-artificial-intelligence) - 基于 AI 的 CRA 合规平台，用于产品清单、风险评估、测试、文档、漏洞报告。面向中小企业，含培训模块。 - [OSCRAT / OCCTET](https://occtet.eu) - 开源 CRA 工具：自由软件 SBOM 生成、漏洞追踪、开源组件合规性。 - [CONFIRMATE](https://confirmate-project.eu) - 符合性评估、指标、合规自动化。开发基于 Clouditor 框架的开源工具、渗透测试方法、多语言培训。合作伙伴：Fraunhofer、CYEN、DNSC 罗马尼亚。 - [CURIUM](https://curium-project.eu) - 物联网与微电子的网络弹性。为欧盟 CSA 和 CRA 制定协调监管框架；侧重 ICT 产品的认证。 - [SECURE](https://www.secure4sme.eu) - 预算 2200 万欧元，含 1600 万欧元阶梯式资助，面向中小企业。2026 年 1 月首次公开征集（500 万欧元）；直接资助、合规工具、培训面向中小企业。 - [CRACoWi](https://www.cracowi.eu) - CRA 合规向导。逐步数字助手，引导中小企业完成安全设计、生命周期及售后合规。 - [CYBERFORT](https://cyber-fort.eu) - 加强中小企业网络安全防御。数字欧洲计划资助；自动化开源合规工具。罗马尼亚-塞浦路斯合作，DNSC 协调。 - [CRACY](https://cra-cy.eu) - 让 CRA 更简单。11 家欧洲网络安全技术提供商联盟；比利时-罗马尼亚-希腊-爱沙尼亚合作。提供供应链实用 CRA 工具。 - [TRUSTBOOST](https://www.trustboost.eu) - 实时网络安全合规与认证 SaaS 平台，适配 CRA、RED-DA、NIS2、CSA。由 NSAI（爱尔兰）协调。 ## 书籍与长篇参考资料 这些书籍受版权保护。链接指向出版商或中立参考页面；此处不托管内容。 - 《设计安全软件：开发者指南》Loren Kohnfelder 著 — CRA 本质要求的工程手册。第 I 部分奠定理论基础（信任、认证/授权/审计“黄金标准”、缓解、设计模式、密码学）；第 II 部分将安全融入设计及 6 步安全设计评审流程，供认证机构在第 32(2)(a) 条下审查；第 III 部分深入具体实践 — GotoFail 与 Heartbleed 案例研究、不可信输入处理、Web 安全、安全测试 — 正是附录 I 第 I 部分 (2)(a) 针对的漏洞类型。*工程师必读*。*(No Starch Press, 2021)*。 - 《实战漏洞管理》Andrew Magnusson 著 — 漏洞管理操作手册，精准对应 CRA 附件 I 第 II 部分需求。涵盖组件与 CVE 数据收集、Cull-Rank 优先级排序、五种响应类型（修复、缓解、系统性、接受、纵深防御与验证），并建立 PSIRT 利益相关者管理。*附录 I 第 II 部分 (1)-(8) 的操作手册*。*(No Starch Press, 2020)*。 - 《威胁建模最佳实践》Derek Fisher 著 — 322 页工程导向威胁建模手册，涵盖 STRIDE、DREAD、ISO 27005、NIST SP 800-30、FAIR、OCTAVE、RMF；云/供应链/IoT/AI 威胁建模及正式对手模型（Dolev-Yao、Byzantine、诚实但好奇）；建立威胁建模实践（SMART、成熟度模型、卓越中心/实践社区）。直接映射 CRA 第 13(2) 条风险评估义务。*(Packt Publishing, 2025)*。 - 《NIST SP 800-30 Rev. 1 — 风险评估指南》NIST 著 — 最广泛采用的风险评估方法论：威胁识别、漏洞分析、可能性、影响、风险判定。CRA 第 13(2) 条要求风险评估，第 13(3) 条要求记录并更新；NIST SP 800-30 提供可辩护的结构化方法。*NIST 免费提供 PDF*。*(NIST, 2012)*。 - 《OWASP 开发者指南 v4》— 广泛免费开发者指南，涵盖安全设计原则、威胁建模、实现、测试、运维。可作为 Kohnfelder 的补充。*免费；OWASP*。 - 《OWASP 循环式数据清单权威指南》— SBOM 生产与消费的自由深入指南；直接相关于附件 I 第 II 部分 (1)。*免费；OWASP*。 ## 学术与研究 - [ENISA 年度威胁态势](https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024) - 年度欧盟威胁态势评估；对 CRA 第 13(2) 条风险评估具有参考价值。 - [JRC — CRA 出版物](https://joint-research-centre.ec.europa.eu/) - JRC 发布的支持委员会 CRA 政策的技术分析。 - [SBOM 研究 — Fraunhofer AISEC](https://www.aisec.fraunhofer.de/en/research.html) - SBOM 工具与验证的学术研究；常被 ENISA SBOM 研究引用。 - [CVE / CWE / CAPEC (MITRE)](https://cve.mitre.org/) - 漏洞标识符生态系统，CRA PSIRT 在此框架内运作。 - [FIRST CVSS v4.0](https://www.first.org/cvss/v4-0/) - 严重性评分框架，贯穿 CRA 漏洞管理。 ## 社区、门户与延伸阅读 - [欧洲委员会 — 网络弹性法案页面](https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act) - 官方入口页面。收藏。 - [DG CNECT](https://digital-strategy.ec.europa.eu/en) - 负责 CRA 的委员会总司。 - [ENISA CRA 枢纽](https://www.enisa.europa.eu/topics/cybersecurity-policy/cyber-resilience-act) - ENISA 的 CRA 资源中心。 - [CCC — 消费者选择中心 CRA 分析](https://consumerchoicecenter.org/) - 面向消费者的 CRA 评论。 - [Eurosmart](https://www.eurosmart.com/) - 数字安全行业协会；发布 CRA 符合性评估简报。 - [DIGITALEUROPE](https://www.digitaleurope.org/) - 产业界倡导与 CRA 立场文件。 - [BSA | 软件联盟](https://www.bsa.org/) - 软件产业 CRA 分析。 - [开放源代码倡议 (OSI) — CRA 页面]() - OSI 对第 2 条（开源范围）及第 24 条（开源维护者）的评论。 - [Eclipse 基金会 CRA 页面](https://cra.eclipse.org/) - Eclipse 社区的开源 CRA 指南。 ## 许可证 [](https://creativecommons.org/publicdomain/zero/1.0/) 在法律允许的范围内，维护者已放弃所有版权及相关邻接权。本列表的整理与描述以 CC0 1.0 通用许可发布。*docs/eu/* 与 *presentations/* 目录中的 PDF 保留其原始作者的权利；欧盟出版物根据委员会决定 2011/833/EU 重复使用；幻灯片由 CEN、CENELEC、ETSI、ENISA 及 STAN4CRA/CYBERSTAND 项目提供。若镜像材料权利人要求删除，请提出问题。 ## 维护者 本列表由 **Jeans Koo** 在 **The One Testing Technology Co., Ltd** 整理维护 — 一家 ISO/IEC 17025 认证测试实验室，支持制造商完成欧盟网络弹性法案全生命周期：范围界定、风险评估、安全设计审查、漏洞管理及符合性评估。 - 💼 [领英 — Jeans Koo](https://www.linkedin.com/in/jeans-koo/) - ✉️ [jeans.koo@theonelab.co](mailto:jeans.koo@theonelab.co) *如有问题、更正或贡献资源，请打开 issue 或拉取请求 — 参考 [CONTRIBUTING.md](CONTRIBUTING.md)。*

标签：BSI, CEN, CLC, CVE, Cyber Resilience Act, ENISA, EUCC, GPT, IEC 62443, ISO, M/606, SBOM, 共同准则, 协调漏洞披露, 数字产品, 数字签名, 数字要素, 时间线, 标准化, 欧盟, 欧盟市场准入, 法规合规, 漏洞报告, 漏洞管理, 监管, 硬件, 硬件无关, 符合性评估, 网络安全, 认证, 跌倒检测, 软件, 软件物料清单, 里程碑, 隐私保护