EN DA
standards

EN 40000-normserien för Cyber Resilience Act

4 minuters läsning
EN 40000-normserien för Cyber Resilience Act

Harmoniserade standarder för Cyber Resilience Act som förklarar EN 40000-1-1 (terminologi) och EN 40000-1-2 (principer för cyberresiliens).

Bakgrund och regulatoriskt sammanhang

Cyber Resilience Act trädde i kraft den 10 december 2024 och tillhandahåller en övergångsperiod på 36 månader tills förordningen blir fullt tillämplig. Under denna tid utvecklar de europeiska standardiseringsorganisationerna CEN och CENELEC harmoniserade standarder som gör det möjligt för tillverkare att dra nytta av en presumtion av överensstämmelse med de väsentliga cybersäkerhetskraven.

EN 40000-serien följer ett tvådelat tillvägagångssätt:

Horisontella standarder: Gäller över produkter med digitala element. De definierar allmänna principer, terminologi och processkrav.

Vertikala standarder: Produktkategorispecifika standarder som konkretiserar de horisontella kraven och definierar ytterligare krav relevanta för den specifika produktkategorin.

Standarderna i detalj

prEN 40000-1-1 Vokabulär

Standarden med termdefinitioner etablerar en enhetlig terminologi för hela EN 40000-familjen. Detta är väsentligt för att undvika missförstånd mellan olika intressenter och för att säkerställa en konsekvent tolkning av kraven.

Kärntermer inkluderar:

  • Acceptabel risk
  • Aktivitet och tillgång
  • Autenticitet, tillgänglighet, konfidentialitet, integritet
  • Produktkontroll
  • Kvarvarande cybersäkerhetsrisk
  • Säkerhetsmål
  • Mjukvarupaket
  • Reparation och rådgivning

Standarden refererar dessutom till termer från Cyber Resilience Act själv och etablerar korsreferenser till etablerade standarder som ISO/IEC 27000, ISO/IEC 29147 och ISO/IEC 27035.

prEN 40000-1-2 Principer för cyberresiliens

Detta är den mest omfattande och tekniskt detaljerade standarden hittills. Den omfattar 64 sidor och definierar både grundläggande principer och konkreta krav för hela produktlivscykeln.

Struktur för standarden

Standarden är uppdelad i sju huvudavsnitt:

  1. Tillämpningsområde
  2. Normativa referenser
  3. Termer och definitioner
  4. Introduktion
  5. Cybersäkerhetsprinciper
  6. Riskhanteringselement
  7. Cybersäkerhetsaktiviteter

Detta kompletteras av fyra informativa bilagor:

  • Bilaga A: Sammanhang med vertikala standarder
  • Bilaga B: Exempel på cybersäkerhetsleverantörsavtal
  • Bilaga C: Förhållande till CRA:s väsentliga krav
  • Bilaga D: Tillgänglig och inkluderande cybersäkerhet

Status och tillgänglighet

Dokumenten befinner sig för närvarande i CEN:s förfrågningsprocedur. Intressenter kan lämna kommentarer fram till avslutandet av denna procedur. Efter färdigställande kommer de att refereras som harmoniserade standarder i EU:s officiella tidning och kommer då att ge en presumtion av överensstämmelse med CRA.

Tillgängliga på DIN Media:

Standarderna kan också erhållas via andra nationella standardiseringsorgan (AFNOR, BSI, UNI etc.).

Utsikter

EN 40000-serien kommer att kompletteras av ytterligare standarder:

Planerade horisontella standarder:

  • Generiska säkerhetskrav (katalog över kontroller för del I(2) av CRA)
  • Krav för sårbarhetshantering
  • Ytterligare process- och aktivitetsrelaterade standarder

Vertikala standarder: Produktkategorispecifika standarder för IoT-enheter, industriella kontrollsystem, medicintekniska produkter, fordon, etc.

Tillverkare bör aktivt följa utvecklingen av dessa standarder och delta i standardiseringsprocessen. Kommenteringsfasen erbjuder möjligheten att bidra med praktisk erfarenhet och krav.

Praktisk betydelse

EN 40000-serien tillhandahåller tillverkare för första gången konkreta, operationalisbara krav för CRA-efterlevnad. Det processagnostiska tillvägagångssättet möjliggör integration i befintliga utvecklingsprocesser, oavsett om waterfall, Agile eller DevOps används.

Särskilt värdefulla är:

  • Den tydliga struktureringen i input-krav-output-bedömning för varje aktivitet
  • Beaktande av RDPS (Remote Data Processing Solutions) över alla aktiviteter
  • Den uttryckliga behandlingen av tredjepartskomponenter och leveranskedjesäkerhet
  • Integrationen av tillgänglighetskrav
  • CSSA-mallen för strukturerade leverantörsrelationer

Tillverkare som redan arbetar enligt ISO/IEC 62443, IEC 62443, ISO/IEC 27001 eller liknande standarder kommer att känna igen många bekanta koncept. EN 40000 harmoniserar dessa tillvägagångssätt specifikt för CRA-kontexten och kompletterar dem med produktspecifika aspekter.

Stöd för implementering av EN 40000-serien

EN 40000-serien utgör den tekniska ryggraden för implementering av Cyber Resilience Act. För tillverkare av produkter med digitala element innebär detta inte bara att integrera nya krav i befintliga utvecklingsprocesser utan också strukturerad bevisning över hela produktlivscykeln - från den initiala riskanalysen genom implementering till övervakning och sårbarhetshantering.

Secuvi stödjer företag i att systematiskt implementera kraven från EN 40000-serien. Vare sig det gäller att etablera ett riskbaserat cybersäkerhetstillvägagångssätt, bygga produktövervakning, utforma cybersäkerhetsleverantörsavtal eller förbereda teknisk dokumentation för överensstämmelsebedömning - vi hjälper till att utveckla pragmatiska lösningar som möter regulatoriska krav och integreras i befintliga utvecklingsmetoder.

Vi ger särskilt starkt stöd i att anpassa riskhantering under klausul 6 med de konkreta cybersäkerhetsaktiviteterna under klausul 7, i att bygga hantering av tredjepartskomponenter och i att skapa SBOM:er och bedömningsdokumentation med teknisk och regulatorisk expertis.

Om du undrar hur du effektivt kan integrera EN 40000-kraven i din produktutveckling hjälper vi gärna till.

Mer på: www.secuvi.com