EN DA
standards

EN 40000-serien förklarad

15 minuters läsning
EN 40000-serien förklarad

Europas nya cybersäkerhetsstandard för produkter med digitala element

prEN 40000-serien är den första horisontella europeiska standarden designad för att stödja efterlevnad av Cyber Resilience Act (CRA). Den täcker allt från vokabulär och principer till sårbarhetshantering, generiska säkerhetskrav och hotmodellering. Här är vad tillverkare, importörer och distributörer behöver veta.

Varför EN 40000 är viktigt nu

Cyber Resilience Act (förordning (EU) 2024/2847) etablerar obligatoriska cybersäkerhetskrav för praktiskt taget alla produkter med digitala element som säljs i Europeiska unionen. Från anslutna konsumentenheter till industriell mjukvara kräver CRA att tillverkare bygger in säkerhet från start och upprätthåller den under en produkts hela livscykel.

Men förordning ensam berättar inte för dig hur du ska följa reglerna. Det är där harmoniserade standarder kommer in.

prEN 40000-serien utvecklas av CEN/CLC/JTC 13 "Cybersecurity and Data Protection" under kommissionens standardiseringsbegäran C(2025)618 (känd som M/606). När dessa standarder citeras i Europeiska unionens officiella tidning ger efterlevnad av dem en presumtion av överensstämmelse med CRA:s väsentliga cybersäkerhetskrav. I praktiska termer är att följa EN 40000 den mest rättframma vägen för att visa CRA-efterlevnad.

Alla fem delar är för närvarande i utkast, inlämnade för CEN-förfrågan. Delarna 1-4 och 1-5 är i ett tidigare utkastsstadium än de första tre. Standarderna förväntas vara färdigställda och citerade innan CRA:s fullständiga tillämpningsdatum den 11 december 2027, även om tillverkare inte bör vänta på slutgiltig publicering för att börja förbereda.

EN 40000-familjen i ett ögonkast

Serien omfattar fem dokument, var och en adresserar en annan aspekt av produktcybersäkerhet.

EN 40000-1-1 (vokabulär) tillhandahåller den gemensamma terminologin och definitionerna som används över serien. Utkast, CEN-förfrågningsstadium.

EN 40000-1-2 (principer för cyberresiliens) etablerar kärncybersäkerhetsprinciperna, riskhanteringsmetodologi och livscykelaktiviteter. Utkast, CEN-förfrågningsstadium.

EN 40000-1-3 (sårbarhetshantering) definierar krav för hantering av sårbarheter under hela produktlivscykeln. Utkast, CEN-förfrågningsstadium.

EN 40000-1-4 (generiska säkerhetskrav) katalogiserar specifika säkerhetskrav som kartlägger till CRA bilaga I. Utkast, CEN-förfrågningsstadium, tidigare än de första tre delarna.

TR 40000-1-5 (hot och säkerhetsmål) kartlägger hot till säkerhetsmål för riskbedömningsändamål. Detta är en teknisk rapport snarare än en normativ standard. Utkast, TR-röstningsstadium.

Dokumenten är designade för att fungera tillsammans. Del 1-1 tillhandahåller det delade språket. Del 1-2 etablerar de övergripande principerna och ramverket. Del 1-3 adresserar den specifika skyldigheten för sårbarhetshantering. Del 1-4 tillhandahåller de detaljerade tekniska kraven. Och TR 1-5 erbjuder den analytiska grunden för riskbedömning genom att kartlägga hot till säkerhetsmål.

Viktigt är att EN 40000 är en horisontell standard. Den gäller över alla produktkategorier. Sektorspecifika (vertikala) standarder för särskilda industrier kan bygga ovanpå EN 40000 och lägga till domänspecifika krav där det behövs. EN 40000 sätter baslinjen som varje tillverkare måste uppfylla, oavsett sektor.

EN 40000-1-1, det delade vokabuläret

Det kan verka ovanligt att ägna en hel standard åt definitioner, men alla som har arbetat över flera cybersäkerhetsramverk vet hur mycket förvirring som uppstår från inkonsekvent terminologi. "Risk", "sårbarhet", "hot" och "tillgång" kan betyda olika saker beroende på vilken standard du läser.

EN 40000-1-1 etablerar de auktoritativa definitionerna för hela serien. Nyckeltermer inkluderar:

  • Acceptabel risk betyder risk som accepteras i ett givet sammanhang baserat på nuvarande värden
  • Tillgång refererar till vad som helst som har värde för en person eller organisation
  • Autenticitet är egenskapen att en entitet är vad den påstår sig vara
  • Konfidentialitet, integritet, tillgänglighet formar den klassiska CIA-triaden, exakt definierad
  • Sannolikhet beskriver chansen för att något händer
  • Åtgärd täcker åtgärder som vidtas för att fixa en sårbarhet
  • Kvarstående risk är risken som återstår efter behandling
  • Säkerhetsmål är ett uttalande som beskriver vad en säkerhetsåtgärd syftar till att uppnå
  • Mjukvarupaket refererar till en distribuerbar enhet av mjukvara

Dessa definitioner justeras med etablerad ISO/IEC-terminologi där möjligt, men är skräddarsydda för CRA-kontexten. När man förbereder dokumentation för CRA-överensstämmelse säkerställer användning av den exakta terminologin från EN 40000-1-1 konsistens och minskar risken för feltolkning under överensstämmelsebedömning.

EN 40000-1-2, kärnsystemet för cyberresiliens

Del 1-2 är hjärtat i EN 40000-serien. Den definierar cybersäkerhetsprinciperna, riskhanteringsmetodologin och livscykelaktiviteterna som tillverkare måste följa. Om du bara läser en del av EN 40000, gör det denna.

De fyra cybersäkerhetsprinciperna

EN 40000-1-2 etablerar fyra grundläggande principer som underbygger allt annat.

1. Riskbaserat tillvägagångssätt för cybersäkerhet. Säkerhetsåtgärder måste vara proportionerliga mot riskerna. Inte varje produkt behöver samma skyddsnivå. En ansluten pacemaker och en smart ljuskula möter olika hotlandskap, och deras säkerhetskrav bör reflektera det.

2. Säkerhet genom design. Cybersäkerhet måste övervägas från de tidigaste stadierna av produktutveckling, inte bultas på som en eftertanke. Detta innebär att integrera säkerhet i kravsinsamling, arkitektur, design, implementering och testning.

3. Säker som standard. Produkter bör vara säkra ur lådan, utan att kräva att användaren konfigurerar säkerhetsinställningar. Standardlösenord, onödiga öppna portar och alltför tillåtande åtkomstkontroller är exakt vad denna princip syftar till att eliminera.

4. Transparens. Tillverkare måste vara transparenta om sina produkters säkerhetsegenskaper, kända begränsningar och de åtgärder som vidtagits för att adressera risker. Detta inkluderar att tillhandahålla tydlig säkerhetsdokumentation till användare.

Riskhanteringsramverk

Standarden definierar ett strukturerat tillvägagångssätt för riskhantering för produktcybersäkerhet:

  • Etablering av produktkontext för att förstå produktens avsedda miljö, användare och gränssnitt
  • Riskacceptanskriterier för att definiera vilken risknivå som är acceptabel för produkten
  • Riskbedömning som en fyrastegsprocess som täcker tillgångsidentifiering, hotidentifiering, riskuppskattning (sannolikhet och påverkan) och riskevaluering (jämförelse mot acceptanskriterier)
  • Riskbehandling genom att välja lämpliga svar som undvikande, minskning, acceptans eller överföring
  • Riskkommunikation för att säkerställa att relevanta parter informeras om risker och behandlingsbeslut
  • Riskövervakning och granskning för pågående omvärdering när hotlandskapet utvecklas

Detta ramverk kommer att vara bekant för alla som har arbetat med ISO 27005 eller IEC 62443-3-2, men det är specifikt skräddarsytt för produkttillverkare snarare än organisationer som hanterar informationssystem.

Tio cybersäkerhetslivscykelaktiviteter

Kanske den mest praktiskt betydelsefulla delen av EN 40000-1-2 är dess definition av tio cybersäkerhetsaktiviteter som sträcker sig över hela produktlivscykeln:

  1. Produktcybersäkerhetsplanering för att etablera vilket cybersäkerhetsarbete som behöver hända och när
  2. Produktcybersäkerhetskrav för att definiera specifika säkerhetskrav baserade på riskbedömningen
  3. Cybersäkerhetsarkitektur och design för att översätta krav till en säker produktarkitektur
  4. Säker implementering som täcker säker kod, säker hårdvarukonfiguration och säkra kodningsmetoder
  5. Cybersäkerhetsverifiering och validering för att testa att säkerhetskrav faktiskt uppfylls
  6. Säker produktion och distribution som säkerställer att produkten inte äventyras under tillverkning eller leverans
  7. Cybersäkerhetsproblemhantering för hantering av säkerhetsproblem som upptäcks efter release
  8. Produktövervakning för att aktivt bevaka nya sårbarheter och hot
  9. Planering för säker avveckling som säkerställer att produkter kan pensioneras säkert, inklusive databorttagning
  10. Tredjepartskomponentcybersäkerhetshantering för hantering av säkerheten för komponenter från andra leverantörer

Den sista aktiviteten är särskilt viktig. Moderna produkter inkorporerar dussintals eller hundratals tredjepartskomponenter, var och en med sin egen säkerhetsställning. EN 40000-1-2 introducerar konceptet av ett cybersäkerhetsleverantörsavtal (CSSA), ett ramverk för att hantera cybersäkerhetskrav i leverantörskedjan. Bilaga B tillhandahåller ett informativt exempel på vad ett sådant avtal bör innehålla.

Standarden inkluderar också bilaga C, som kartlägger varje krav tillbaka till de specifika väsentliga cybersäkerhetskraven i CRA bilaga I. Denna kartläggning är ovärderlig för efterlevnadsteam som bygger sin överensstämmelsedokumentation.

EN 40000-1-3, ryggraden för sårbarhetshantering

Om EN 40000-1-2 definierar vad man ska bygga, definierar EN 40000-1-3 vad man ska göra när saker går fel. Och saker kommer att gå fel. Sårbarheter uppstår över tid i varje produkt, oavsett hur väl den designades. CRA gör sårbarhetshantering till en obligatorisk skyldighet, inte valfri bästa praxis. EN 40000-1-3 tillhandahåller ramverket för att uppfylla den skyldigheten.

Den sexfasiga sårbarhetslivscykeln

Standarden strukturerar sårbarhetshantering i sex distinkta faser.

1. Förberedelse. Innan du kan hantera sårbarheter effektivt behöver du rätt grunder på plats. Detta inkluderar en dokumenterad policy för sårbarhetshantering, en koordinerad policy för sårbarhetsavslöjande (CVD) så att säkerhetsforskare vet hur de ska rapportera problem, operativ säkerhet för dina sårbarhetshanteringsprocesser, säkra kommunikationskanaler, produktidentifieringsmekanismer, en Software Bill of Materials (SBOM) som identifierar alla mjukvarukomponenter, hårdvarukomponentidentifiering där relevant, planer för regelbunden säkerhetstestning och mekanismer för distribution av säkerhetsuppdateringar.

SBOM-kravet förtjänar särskild uppmärksamhet. CRA kräver att tillverkare upprätthåller en SBOM för varje produkt med digitala element. EN 40000-1-3 specificerar vad den SBOM måste innehålla och hur den bör underhållas. Detta är ett av de mest operativt krävande kraven för många tillverkare, särskilt de som inte tidigare har spårat sin mjukvaruleverantörskedja i detalj.

2. Mottagande. Denna fas täcker hur du lär dig om sårbarheter: upprätthålla förmågan att ta emot rapporter från externa forskare, användare och andra källor; aktivt övervaka interna och externa källor (CVE-databaser, säkerhetsrådgivningar, hotintelligensfeeds); identifiera vilka produkter och komponenter som kan påverkas; engagera koordinatorer som nationella CSIRT:er när det är lämpligt; och genomföra regelbunden säkerhetstestning för att hitta sårbarheter proaktivt.

3. Verifiering. När en potentiell sårbarhet identifieras måste den bedömas genom initial bedömning för att bekräfta om problemet är genuint, sårbarhetsvalbedömning för att bestämma allvarlighetsgrad och exploaterbarhet, och prioritering baserad på riskbedömningsresultaten.

4. Åtgärd. Bekräftade sårbarheter behöver fixas. Detta involverar ett åtgärdsbeslut (patch, workaround, konfigurationsändring eller acceptera och dokumentera), åtgärdsutveckling och åtgärdstestning för att verifiera att fixen fungerar utan att introducera nya problem.

5. Release. Fixar behöver nå användare genom etablerade distributionskanaler, åtföljda av rådgivningar som informerar användare om sårbarheten och den tillgängliga fixen, inklusive allvarlighetsgrad, påverkade versioner och åtgärdssteg.

6. Post-release. Efter att en fix är släppt fortsätter arbetet. Detta innebär övervakning av adoption av fixen, bevakning för relaterade sårbarheter eller exploateringsförsök, och uppdatering av riskbedömningen baserat på verklig information.

Utöver befintliga standarder

EN 40000-1-3 bygger på etablerade sårbarhetshanteringsstandarder (EN ISO/IEC 30111 och EN ISO/IEC 29147) men går betydligt längre. Viktiga tillägg inkluderar obligatoriska SBOM-krav, regelbunden testning och granskning för proaktiv sårbarhetsupptäckt, CVD-skyldigheter utöver bara en kontakt-e-post, riskbaserad rigor där produkter med högre kritiskhet genomgår mer frekvent testning, och kraväkningar för produkter där ett säkerhetsfel kan ha särskilt allvarliga konsekvenser.

CRA själv skiljer mellan standard-, viktiga och kritiska produktkategorier, och EN 40000-1-3 anpassar sina förväntningar därefter.

EN 40000-1-4, katalogen över tekniska säkerhetskrav

Not: denna del är i ett tidigare utkastsstadium och föremål för ändringar.

Medan EN 40000-1-2 definierar principer och processer tillhandahåller EN 40000-1-4 de specifika tekniska säkerhetskrav som produkter måste uppfylla. Den är strukturerad som en katalog över krav som kartlägger direkt till de väsentliga kraven i CRA bilaga I, del I(2).

Standarden täcker tretton kravområden:

  1. Sårbarhetsbedömning för bedömning och testning av produkter mot kända sårbarheter
  2. Säker konfiguration som kräver att produkter stöder säker konfiguration och skickas med säkra standardinställningar
  3. Säkerhetsuppdateringar som täcker mekanismer för leverans och tillämpning av uppdateringar
  4. Åtkomstkontroll inklusive autentisering, auktorisering och åtkomsthantering
  5. Konfidentialitetskydd genom kryptering och dataskydd i vila och under transport
  6. Integritetsskydd med mekanismer för att upptäcka och förhindra obehörig modifiering
  7. Dataminimering som säkerställer att produkter endast bearbetar data som är nödvändiga för deras funktion
  8. Tillgänglighet med motståndskraft mot denial-of-service och resursutmattning
  9. Externt påverkansskydd som förhindrar produkter från att negativt påverka säkerheten för andra system
  10. Minimering av attackyta för att minska potentiella ingångspunkter för angripare
  11. Minskning av incidentpåverkan för att begränsa skador när en säkerhetsincident inträffar
  12. Loggning och övervakning för registrering och övervakning av säkerhetsrelevanta händelser
  13. Databorttagning som säkerställer att användare säkert kan ta bort sin data från produkten

Varje område innehåller specifika, testbara krav. Under åtkomstkontroll specificerar till exempel standarden krav för autentiseringsmekanismer, lösenordspolicyer, sessionshantering och privilegieseparation. Under säkerhetsuppdateringar adresserar den integritetverifiering av uppdateringar, rollback-förmågor och användarnotifikation.

Standarden definierar också säkerhetsmål som kartlägger till dessa krav, vilket tillhandahåller länken mellan vad du måste göra och varför. Denna kartläggning är särskilt användbar när man bygger överensstämmelsedokumentation, eftersom det tillåter tillverkare att demonstrera att varje CRA-krav adresseras av specifika produktfunktioner.

TR 40000-1-5, den analytiska grunden för hotmodellering

Not: detta är en teknisk rapport (TR), inte en normativ standard, och är i ett tidigt utkastsstadium.

TR 40000-1-5 tar ett annorlunda tillvägagångssätt från de andra delarna. Snarare än att definiera krav tillhandahåller den ett analytiskt verktyg: en strukturerad kartläggning av cybersäkerhetshot till säkerhetsmål för produkter med digitala element.

Dokumentet tjänar tre syften. Först tillhandahåller det input för riskbedömning. Tillverkare som genomför riskbedömningen som krävs av EN 40000-1-2 kan använda det som en startpunkt för att identifiera relevanta hot. För det andra tillhandahåller det en grund för vertikala standarder. Branschspecifika standardorgan kan använda hot- och målkartläggningen som en baslinje. För det tredje bygger det en brygga till CRA-krav. Hoten och målen härleds från analys av de väsentliga kraven i CRA bilaga I, vilket gör dokumentet till en användbar referens för att förstå den reglerande intentionen bakom varje krav.

Det är viktigt att notera att TR 40000-1-5 uttryckligen säger att den inte tillhandahåller en komplett lista över alla CRA-relevanta hot. Tillverkare måste fortfarande genomföra sin egen produktspecifika riskbedömning. Dokumentet tillhandahåller ett startramverk, inte en färdig analys.

Vem behöver vara uppmärksam

EN 40000-serien påverkar en bred rad intressenter.

Tillverkare av produkter med digitala element är den primära målgruppen. Oavsett om du tillverkar anslutna konsumentenheter, industriell mjukvara, IoT-gateways eller företagsapplikationer tillhandahåller EN 40000 ramverket för att demonstrera CRA-efterlevnad. Detta inkluderar både hårdvarutillverkare och rena mjukvaruföretag.

Importörer och distributörer har due diligence-skyldigheter under CRA. De måste verifiera att produkter de placerar på EU-marknaden uppfyller de väsentliga kraven. Att förstå EN 40000 hjälper importörer att bedöma om en tillverkares överensstämmelseanspråk är trovärdiga.

Open source-förvaltare, vilket betyder organisationer som systematiskt hanterar open source-projekt avsedda för kommersiell användning, har specifika bestämmelser under CRA. EN 40000:s sårbarhetshanteringskrav är särskilt relevanta här.

Överensstämmelsebedömningsorgan kommer att använda EN 40000 som riktmärke för att utvärdera produktefterlevnad, särskilt för de "viktiga" och "kritiska" produktkategorierna som kräver tredjeparts bedömning.

Sektorspecifika standardutvecklare som bygger vertikala standarder för fordon, medicintekniska produkter, industriautomation och andra domäner kommer att använda EN 40000 som sin horisontella baslinje.

CRA-tidslinjen och vad man ska göra nu

CRA-tidslinjen är stram, och flera deadlines närmar sig.

  • November 2024 såg CRA publicerad i Europeiska unionens officiella tidning
  • December 2024 markerade CRA:s ikraftträdande
  • 11 september 2026 är när sårbarhetsrapporteringsskyldigheter börjar
  • 11 december 2027 är det fullständiga CRA-tillämpningsdatumet

Septemberskyldigheten för 2026-rapportering förtjänar särskild uppmärksamhet. Från det datumet måste tillverkare rapportera aktivt exploaterade sårbarheter till relevant CSIRT inom 24 timmar. Detta kräver att ha sårbarhetsövervakning och rapporteringsprocesser på plats långt innan fullständiga CRA gäller.

Praktiska steg att ta nu

Börja med EN 40000-1-2. Förstå principerna och livscykelaktiviteterna. Kartlägg dina nuvarande utvecklingsprocesser mot de tio cybersäkerhetsaktiviteterna och identifiera luckor.

Etablera sårbarhetshantering per EN 40000-1-3. Detta är operativt krävande och tar tid att implementera ordentligt. Börja bygga din SBOM-förmåga, CVD-process och mekanismer för säkerhetsuppdateringsdistribution nu.

Bedöm mot EN 40000-1-4-krav. Även i utkastsform indikerar de generiska säkerhetskraven vad den slutgiltiga standarden kommer att förvänta. Använd dem som en gap-analyschecklista för dina produkter.

Använd TR 40000-1-5 för riskbedömning. Om du inte har genomfört en strukturerad hotanalys för dina produkter tillhandahåller hot- och målkartläggningen en solid startpunkt.

Förbered din överensstämmelsedokumentation. Börja bygga bevisspåret som länkar dina säkerhetsåtgärder till specifika CRA-krav via EN 40000-kartläggningen.

Övervaka standardutveckling. Utkasten kommer att utvecklas före slutgiltig publicering. Spåra ändringar och justera ditt tillvägagångssätt därefter.

Vänta inte på att standarderna ska färdigställas. CRA-kraven är redan definierade i förordningen själv. EN 40000 tillhandahåller metoden för att uppfylla dessa krav, men skyldigheterna är redan lag.

Hur EN 40000 relaterar till andra standarder

EN 40000 existerar inte isolerat. Flera etablerade standarder överlappar med eller kompletterar serien.

IEC 62443 för industriautomation cybersäkerhet är det mest utbredda industriella cybersäkerhetsramverket. EN 40000 är horisontell och gäller alla produkter med digitala element. IEC 62443 är vertikal, fokuserad på industriautomation och styrsystem. För industriella produkter kan båda gälla. IEC 62443-4-1 (säker utvecklingslivscykel) och IEC 62443-4-2 (komponentsäkerhetskrav) justerar väl med EN 40000:s livscykelaktiviteter respektive säkerhetskrav.

ISO 27001/27002 för informationssäkerhetshantering fokuserar på organisatorisk säkerhet snarare än produktsäkerhet. Men många riskhanteringskoncept överlappar, och organisationer som redan är certifierade till ISO 27001 kommer att finna EN 40000:s riskhanteringsramverk bekant.

ETSI EN 303 645 för konsument-IoT-säkerhet var en tidigare europeisk standard för IoT-enhetssäkerhet. EN 40000 är bredare i omfattning och täcker alla produkter med digitala element, inte bara konsument-IoT.

EN ISO/IEC 30111 och 29147 för sårbarhetshantering och avslöjande är grundstandarderna som EN 40000-1-3 bygger på. EN 40000-1-3 höjer många av deras rekommendationer till obligatoriska krav och lägger till CRA-specifika skyldigheter som SBOM och regelbunden testning.

Förberedelse för EN 40000-eran

prEN 40000-serien representerar en fundamental förändring i hur cybersäkerhet regleras på den europeiska marknaden. För första gången finns det en omfattande horisontell standard som tillverkare kan följa för att demonstrera efterlevnad av EU:s cybersäkerhetskrav för produkter.

Viktiga takeaways:

  • EN 40000 tillhandahåller den mest direkta vägen till CRA-efterlevnad genom presumtion av överensstämmelse, när standarderna citeras i Europeiska unionens officiella tidning
  • De fem delarna arbetar tillsammans för att forma ett komplett ramverk som spänner över vokabulär, principer, sårbarhetshantering, säkerhetskrav och hotanalys
  • Standarderna är fortfarande i utkast men riktningen är tydlig, och de underliggande CRA-kraven är redan lag
  • Börja nu eftersom sårbarhetsrapporteringsskyldigheter börjar september 2026, fullständig CRA-efterlevnad krävs vid december 2027, och implementering av dessa metoder tar tid
  • Detta är inte valfritt eftersom CRA gäller praktiskt taget alla produkter med digitala element som säljs i EU

Tillverkare som anpassar sig till EN 40000 nu, även medan standarderna färdigställs, kommer att vara bäst positionerade när CRA-deadlines anländer. De som väntar på slutgiltig publicering riskerar att finna sig själva icke-överensstämmande utan tid att komma ikapp.

Standarderna kan fortfarande utvecklas i sina detaljer, men de grundläggande principerna (säkerhet genom design, säker som standard, riskbaserat tillvägagångssätt, transparens och obligatorisk sårbarhetshantering) är fastställda. Att bygga på dessa principer idag är den smartaste investeringen en tillverkare kan göra.