Europe Dataset

中的执法条款规定监控机构可以要求提供相关的软件物料清单 (SBOM)，以确定产品类别的软件依赖性评估。

这只是 CRA 协议中一些关键要求的示例，但强调了开始关注软件开发生命周期 (SDLC) 并从开发/制造方面的早期阶段灌输良好实践的关键立法。

另一方面，，确保在部署网络技术时实施适当的风险管理技术。NIS2 指令以原始 NIS 指令为基础。所有欧盟成员国将在 10 月 17 日之前通过立法，将 NIS2 指令纳入国家法律。虽然《欧盟网络安全法》侧重于国家实体，但 NIS2 也适用于私人组织。NIS2 对私人组织有两大影响：

实施既定的风险管理战略（第 21 条）
在发现重大网络安全事件后 24 小时内报告，并要求在 72 小时内和 1 个月内采取补救措施并提交详细的最终报告。
此外，如果发现重大过失，NIS2 还包括最高管理层的个人责任，以及对不合规行为的更高行政罚款。确保未能实施适当的程序会附带罚款和责任，这将有助于确保 C-SCRM 在组织的管理战略中占据关键地位。

从美国的角度来看，美国国防部 (DoD) 推出的 CMMC 框架旨在增强国防工业基地 (DIB) 中私营企业的安全态势。它包括五个成熟度级别，供组织根据政府工作招标合同达到。每个级别都有必须满足的特定网络安全实践和流程。如果不遵守 CMMC 框架，组织将不被允许参与今后的新合同机会。

这些法规很好地说明了需要解决网络安全软件供应链的双方问题，并应用财务和 法国电子邮件列表 /或报告要求来执行。还有许多其他法规会影响 C-SCRM 流程，但许多现有法规都是指导方针和框架，没有报告或执行要求。

制造商可以做什么？
从制造商的角度来看，确保在 SDLC 早期就实施良好的实践和框架是关键。开发本质上安全且与新漏洞保持同步的软件，可以减少产品受到已知攻击的可能性。确保软件产品可以轻松自动更新，确保在出现新漏洞时，客户能够跟上安全更新的步伐。为此，CRA 等指令是推动供应链软件制造方面流程改进的良好尝试。

从整个企业供应链来看，NIS2 和 CMMC 等法规正在迫使企业更多地承担 C-SCRM 实践的责任。通过对 NIS2 施加经济处罚，以及对 CMMC 施加财务机会或缺乏财务机会，这些法规比以前的尝试更有约束力。

当然，在小公司应对费用和要求时，报告、认证和经济处罚等额外法规的缺点可能是扼杀创新。开源社区在 CRA 中看到了这种阻力，开源软件获得了一些重大让步，免除了许多 CRA 指令。这些法规是否会对 C-SCRM 产生影响还有待观察。