ETSI publicerar CRA-standarder som täcker routrar till virtualisering. Utkasten fastställer konkreta krav och testbara säkerhetsåtgärder, med alla detaljer sammanfattade.
Översikt över publicerade utkasttandarder
ETSI har gjort följande utkasttandarder tillgängliga genom sin Open Consultation Platform:
- EN 304 618 - Password Managers (Version 0.0.3, 29.09.2025)
- EN 304 619 - Antivirus (Version 0.0.5, 30.09.2025)
- EN 304 623 - Boot Managers (Version 0.0.4, 30.09.2025)
- EN 304 625 - Network Interfaces (Version 0.0.5, 22.09.2025)
- EN 304 626 - Operating Systems (Version 0.0.6, 22.09.2025)
- EN 304 627 - Routers, Modems, Switches (Version 0.0.7, 29.09.2025)
- EN 304 635 - Virtualisation & Containers (Version 0.0.6, 01.10.2025)
Med en total volym på över 400 sidor tillhandahåller dessa dokument ett omfattande ramverk, även om de fortfarande kommer att genomgå väsentliga revisioner.
Strukturell layout för standarderna
ETSI utkasttandarderna följer ett enhetligt, fyrstegskoncept som tillför klarhet och spårbarhet till cybersäkerhetskraven:
1. Use cases - realistiska distributionsscenarier
Varje standard börjar med konkreta användningsfall som beskriver typiska distributionsscenarier för Products With Digital Elements (PWDE).
Exempel från EN 304 623 (Boot Manager): Användningsfallet "Home Modem" beskriver den typiska hemmiljön, befintliga säkerhetsåtgärder och förväntade användningsmönster som webbrowsning, hemmakontor och online-gaming. Detta realistiska tillvägagångssätt tillåter tillverkare att placera sina produkter i rätt kontext.
2. Hot och risköverväganden - hot och risker
Med utgångspunkt i användningsfallen analyserar standarderna systematiskt hotlandskapet, identifierar specifika riskfaktorer och tar produktspecifika förmågor i beaktande under riskbedömningen.
Exempel från EN 304 626 (Operating Systems): Risktolerans klassificeras i fyra nivåer - från kritiska miljöer (RT-C: hög känslighet, låg tolerans) till miljöer med hög risktolerans (RT-H: försumbar potentiell skada, ingen förväntan om regelbundna säkerhetsuppdateringar). Denna kategorisering betraktar produkten i termer av potentiell skada och sannolikheten för förekomst.
3. Begränsningar - säkerhetsåtgärder och krav
För att adressera de identifierade riskerna föreslår standarderna olika begränsningsåtgärder. Dessa inkluderar tekniska krav och säkerhetskontroller som måste implementeras.
En intressant approach kan hittas i EN 304 627 (Router), som använder "capability-based conditions": de specifika förmågorna hos en produkt avgör vilka säkerhetskrav som är relevanta. Detta möjliggör flexibel, produktanpassad tillämpning av standarderna.
4. Bedömning - objektiv testbarhet
Standarderna definierar testkriterier för att utvärdera efterlevnad av kraven. Som betonat i EN 304 625 (Network Interfaces) bör krav "idealt vara objektivt testbara på en produktinstans" för att möjliggöra oberoende bedömningar av marknadsövervakningsbehörigheter.
Där det är nödvändigt kan "Check-box Requirements" användas - strukturerade beslutsträd som ger tillverkare ett ramverk för att dokumentera motiveringen för deras efterlevnad.
Implikationer för praktik
Denna tidiga publicering av utkasten från ETSI är anmärkningsvärd och erbjuder tillverkare och andra intressenter flera fördelar:
Tidig insikt: Utkasten ger en värdefull översikt över riktning och omfattning av standardiseringsansträngningarna, även om väsentliga revisioner fortfarande förväntas.
Förmåga att forma resultat: Den offentliga konsultationsfasen tillåter industrin att aktivt ge feedback och hjälpa till att forma standardernas slutliga form.
Planeringssäkerhet: Företag kan redan börja anpassa sina produkter och processer till de kommande kraven.
Rekommenderade åtgärder
Tillverkare av berörda produkter bör noggrant granska de utkasttandarder som är relevanta för dem och delta i konsultationen. Kommentarsmallar är tillgängliga via ETSI Open Consultation Platform.
Om du har frågor om att kontakta de ansvariga ETSI-organen eller lämna kommentarer kan intresserade parter vända sig till sina nationella standardiseringsorganisationer eller direkt till ETSI TC CYBER-EUSR.
Slutsats
Med publiceringen av dessa sju utkasttandarder gör ETSI de abstrakta kraven i Cyber Resilience Act påtagliga och handlingsanvisande. Det strukturerade tillvägagångssättet över användningsfall, riskfaktorer, begränsningar och bedömning skapar ett tydligt ramverk för tillverkare.
Storsta tack till medlemmarna i ETSI TC CYBER-EUSR för deras arbete med dessa viktiga standarder. Det tidiga öppnandet av konsultationsprocessen är ett positivt tecken för transparent och praktiskt orienterad standardisering inom cybersäkerhetsområdet.