Harmoniserade standarder för Cyber Resilience Act förklarade: EN 40000-1-1 (terminologi), EN 40000-1-2 (principer för cyberresiliens) och EN 40000-1-3 (sårbarhetshantering).
Positionering av EN 40000 i sammanhanget EU cybersäkerhetsreglering
Cyber Resilience Act (CRA) definierar grundläggande krav för cybersäkerheten för produkter med digitala element i bilaga I. Dessa krav är medvetet formulerade på en abstrakt nivå och adresserar både tekniska produktegenskaper och organisatoriska skyldigheter över hela produktlivscykeln.
Standarderna i EN 40000-serien är designade som horisontella standarder för att stödja Cyber Resilience Act. De strukturerar och specificerar kraven som formulerats i CRA utan att vara juridiskt bindande själva. Målet med serien är att skapa ett enhetligt referensramverk för tolkning av CRA-kraven, särskilt med avseende på riskbedömning, säkerhetsprinciper och sårbarhetshantering.
Aktuell standardiseringsstatus och distinktion mellan EN och prEN
Standarderna i EN 40000-serien befinner sig för närvarande (i slutet av 2025) mestadels i utkast eller diskussionsstadier inom de europeiska standardiseringsorganen. Standardiseringsprocessen börjar typiskt med en prEN (preliminär europeisk standard eller utkastsstandard), som tjänar offentlig diskussion, kommentering och konsensusbyggande. En prEN är formellt ännu inte en bindande standard utan en mellanstatus som kan omvandlas till en EN (europeisk standard) efter intern revision och godkännande av de nationella standardorganisationerna.
En EN är däremot en antagen europeisk standard som officiellt har övertagits av medlemsstandardorganisationerna (t.ex. DIN i Tyskland) - inklusive okritisk adoption i nationella standardsamlingar. EN-standarder står därför på en juridiskt och praktiskt högre nivå än prEN:er: de är stabila referenser för reglering, kontraktsskrivning eller harmonisering. prEN-texter kan variera väsentligt i innehåll, är inte bindande som utkast och är föremål för ändringar. Tillverkare bör därför alltid hålla utkastsstatusen och möjliga avvikelser från den slutliga EN i åtanke när de använder prEN-innehåll.
I fallet med EN 40000-serien är flera delar för närvarande tillgängliga som prEN:er. Dessa utkast kan ses via DIN-standardportalen, vilket tillåter tidig teknisk orientering men inte ersätter den senare formella konsolideringen till en EN.
I praktiken väcker arbete med prEN-utkast frågor: Vad kan redan användas, vad är fortfarande provisoriskt och var är riskerna? Om du vill förtydliga denna distinktion för din CRA-förberedelse kan en kort anpassningsdiskussion hjälpa.
Struktur för EN 40000-serien
Serien är modulär och täcker olika lager av cybersäkerhet:
prEN 40000-1-1 - vokabulär
Denna standard definierar centrala termer i sammanhanget cybersäkerhet för produkter med digitala element. Den tillhandahåller ett gemensamt vokabulär som krävs för konsekvent tillämpning av de andra standarderna. Substantiellt innehåller den endast termdefinitioner och inga normativa krav för produkter eller processer.
prEN 40000-1-2 - principer för cyberresiliens
Denna del beskriver grundläggande principer för cyberresiliens, inklusive riskbaserade tillvägagångssätt, säkerhet genom design, säker som standard och transparens. Standarden formulerar allmänna vägledande principer och placerar dem längs produktlivscykeln. Substantiellt motsvarar den i stora delar de abstrakta kraven från bilaga I del I nr. 1 av Cyber Resilience Act.
prEN 40000-1-3 - sårbarhetshantering
EN 40000-1-3 specificerar kraven för hantering av sårbarheter över hela produktlivscykeln. Fokus ligger på organisatoriska och procedurmässiga aspekter av sårbarhetshantering, inklusive mottagande, bedömning, åtgärd, kommunikation och spårning av sårbarheter. Standarden inkorporerar etablerade koncept som koordinerat sårbarhetsavslöjande, SBOM:er, regelbunden testning såväl som uppdaterings- och informationsprocesser och ramar in dem på ett CRA-kompatibelt sätt. Substantiellt adresserar den särskilt skyldigheterna från bilaga I del II av Cyber Resilience Act.
prEN 40000-1-4 - generiska säkerhetskrav
EN 40000-1-4 kommer att vara den centrala tekniska standarden i den horisontella EN 40000-serien. Medan de föregående delarna definierar termer, principer och processer kommer denna del att specificera de generiska säkerhetskraven för produkter med digitala element i CRA:s mening.
Standarden bygger systematiskt på EN 18031-standardserien, som ursprungligen utvecklades för Radio Equipment Directive (RED). Substantiellt är EN 40000-1-4 strukturerad längs de 13 väsentliga kraven från bilaga I del I nr. 2 av Cyber Resilience Act.
Bidrag till presumtion av överensstämmelse
Det är viktigt att tydligt särskilja mellan normativ anpassning och juridisk effekt:
Varken EN 40000-1-1 eller EN 40000-1-2 är lämpliga att etablera en presumtion av överensstämmelse under Cyber Resilience Act. EN 40000-1-1 är ett rent vokabulär utan krav. EN 40000-1-2 beskriver allmänna principer som i innehåll motsvarar de lagstadgade minimikraven men inte översätter dem till verifierbara, produktspecifika krav.
EN 40000-1-3 adresserar konkreta skyldigheter för sårbarhetshantering men är också designad som en horisontell processstandard. Det bör inte antas att den ensam etablerar en presumtion av överensstämmelse för specifika produkter. Snarare förväntas den användas som en referens för "teknikens ståndpunkt" och som vägledning för lämpliga organisatoriska åtgärder.
EN 40000-standarderna ger orientering men ersätter inte produktspecifika bevis. Vi diskuterar gärna, utan förpliktelse, vilken roll EN 40000-serien realistiskt kan spela i din överensstämmelsestrategi - och var kompletterande standarder eller åtgärder krävs.
Förhållande till andra standarder och normer
EN 40000-serien står inte ensam utan kompletterar det befintliga standardlandskapet. Innehållsöverlappningar existerar bland annat med IEC 62443-4-1 (säker utvecklingslivscykel), ISO/IEC 27001-relaterade processer, ETSI-standarder inom radiodomänen såväl som ISO/IEC-standarder för sårbarhetsavslöjande och hantering. Till skillnad från många av dessa standarder är EN 40000 uttryckligen skräddarsydd för europeisk produktreglering och CRA.
Praktisk not om tillgänglighet
EN 40000-standarderna befinner sig för närvarande i utkastsstadie. De relevanta utkassstandarderna kan delvis ses kostnadsfritt via DIN-standardportalen. Detta ger tillverkare och andra intresserade parter möjlighet att granska och kontextualisera innehåll tidigt utan att behöva investera i betalda standarddokument.
Tillgängliga från DIN Media:
- DIN EN 40000-1-1:2025-11 (utkast) - vokabulär https://www.dinmedia.de/en/draft-standard/din-en-40000-1-1/396310000
- DIN EN 40000-1-2:2025-11 (utkast) - principer för cyberresiliens https://www.dinmedia.de/en/draft-standard/din-en-40000-1-2/396310071
- DIN EN 40000-1-3:2026-02 (utkast) - sårbarhetshantering https://www.dinmedia.de/de/norm-entwurf/din-en-40000-1-3/398007938
Standarderna kan också erhållas via andra nationella standardorgan (AFNOR, BSI, UNI etc.).
Aktuell standardiseringsstatus (december 2025)
Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) tillhandahåller en regelbundet uppdaterad översikt över CRA-standardiseringsprojekt. Detta dokumenterar statusen för horisontella och vertikala standardiseringsprojekt för Cyber Resilience Act i december 2025.
De horisontella harmoniserade europeiska standarderna i EN 40000-1-serien befinner sig i olika utvecklingsstadier:
| Norm | Titel | Status (dec. 2025) |
|---|---|---|
| EN 40000-1-1 | Vokabulär | Utkast (prEN) tillgängligt |
| EN 40000-1-2 | Principer för cyberresiliens | Utkast (prEN) tillgängligt |
| EN 40000-1-3 | Sårbarhetshantering | Utkast (prEN) under förberedelse |
| EN 40000-1-4 | Generiska säkerhetskrav | Utkast (prEN) under förberedelse |
Dessutom utvecklas stödjande dokument:
- TR 40000-1-5: Teknisk rapport om hot och säkerhetsmål
- Ytterligare tekniska specifikationer och rapporter om tillämpning av EN 18037 i CRA-kontexten
Samtidigt pågår omfattande arbete med vertikala harmoniserade standarder för specifika produktkategorier. DKE-översikten listar mer än 30 vertikala standardiseringsprojekt koordinerade av ETSI, DIN och DKE. Dessa täcker produktområden som:
- Nätverkskomponenter (routrar, switches, brandväggar, VPN-system)
- Mjukvaruprodukter (webbläsare, lösenordshanterare, operativsystem, hypervisors)
- Smart-hem och konsumentprodukter (smarta lås, kameror, wearables, leksaker)
- Industriella komponenter (mikrostyrenheter, ASIC:er, FPGA:er, smart meter gateways)
- Säkerhetskomponenter (hårdvarusäkerhetsmoduler, smartcards, säkra element)
För OT-området (operational technology) utvecklas också CRA-specifika säkerhetsprofiler baserade på IEC 62443-standardserien (EN 50XXX-serien), som kopplar etablerade industriella cybersäkerhetskrav med CRA:s väsentliga krav.
Vägledning för tillverkare
För tillverkare av maskiner, utrustning och enheter bör EN 40000-serien primärt förstås som ett ramverk för orientering. Den tillhandahåller strukturerad terminologi och ett konsekvent koncept för termer och principer för att klassificera cybersäkerhetskrav från Cyber Resilience Act. Faktisk implementering och bevis för överensstämmelse genomförs dock fortsatt genom produktspecifika tekniska åtgärder, etablerade utvecklingsprocesser och - där det krävs - ytterligare, mer specifika standarder.
Utsikter
Med ikraftträdandet av Cyber Resilience Act kommer EN 40000-serien att få betydelse främst som ett referensramverk för tolkning av juridiska krav. Även om standarderna - särskilt i sin nuvarande prEN-form - inte direkt etablerar en presumtion av överensstämmelse hjälper de till att förtydliga vad som förstås som lämplig organisatorisk och teknisk praxis i CRA-kontexten.
Det förväntas att de horisontella standarderna i EN 40000-serien kommer att kompletteras av produktspecifika vertikala standarder i framtiden. Endast på den nivån är det realistiskt att förvänta standarder som kan utöva starkare juridisk effekt för specifika produktkategorier.
För tillverkare betyder detta att EN 40000 bör ses mindre som en implementeringsstandard och mer som ett orienterings- och klassificeringsinstrument som hjälper till att systematiskt strukturera CRA-krav och förutse regleringutvecklingar tidigt.
EN 40000-standarderna är en viktig referens för tolkning av Cyber Resilience Act, men de är inte en genväg till efterlevnad. Om du vill förstå hur du använder EN 40000 på ett vettigt sätt för att strukturera din CRA-implementering kan detta förtydligas tillsammans i en icke-bindande diskussion.