EN DA
standards

Horisontella CRA-standarder EN 40000-1-1 & EN 40000-1-2

3 minuters läsning
Horisontella CRA-standarder EN 40000-1-1 & EN 40000-1-2

Första horisontella CRA-standarderna är tillgängliga. prEN 40000-1-1 och prEN 40000-1-2 definierar det produktövergripande ramverket för riskhantering och cybersäkerhetsaktiviteter.

Horisontellt före vertikalt - grunden för alla produktkategorier

Medan ETSI redan publicerat standarder för specifika produktkategorier som lösenordshanterare, routrar eller operativsystem, saknades hittills en produktövergripande grundlinje. Den luckan täpps till av de nyligen tillgängliga horisontella standarderna från CEN/CENELEC.

Skillnaden

  • Horisontella standarder (EN 40000) gäller för alla produkter med digitala element - oavsett kategori
  • Vertikala standarder (ETSI EN 304 6xx) specificerar de horisontella kraven för specifika produktkategorier

Endast kombinationen av båda typerna av standarder skapar presumtionen av överensstämmelse för CRA.

prEN 40000-1-1 vokabulär

Etablerar den gemensamma terminologin för hela standardfamiljen. Den definierar nyckeltermer som acceptabel risk, kvarvarande risk, produktkontroll och säkerhetsmål - väsentligt för konsekvent överensstämmelsebedömning över alla produktkategorier.

prEN 40000-1-2 principer för cyberresiliens

Den tekniska kärnan. Standarden definierar fyra grundläggande principer:

  • Riskbaserad approach
  • Säkerhet genom design
  • Säker som standard
  • Transparens

Dessa konkretiseras i:

  • 6 riskhanteringselement (produktkontext, riskacceptanskriterier, riskbedömning, riskbehandling, riskkommunikation, riskövervakning)
  • 11 cybersäkerhetsaktiviteter över hela produktlivscykeln (planering, krav, arkitektur, implementering, V&V, produktion, ärendehantering, övervakning, avveckling, tredjepartshantering)

Varje aktivitet är strukturerad i input, krav, output och bedömningskriterier - processagnostisk och därmed tillämpbar över olika utvecklingsmetoder.

Interaktion med vertikala standarder

ETSI-standarderna för specifika produktkategorier bygger på detta ramverk:

  • Användningsfall konkretiserar produktkontextdefinitionen
  • Hotmodeller följer riskbedömningsramverket
  • Produktspecifika mildringar implementerar de krävda kontrollerna
  • Bedömningskriterier kompletterar de horisontella bestämmelserna

Bilaga A ger vertikala standarder explicit vägledning för att uppnå sammanhang.

Status och nästa steg

Dokumenten befinner sig för närvarande i CEN-förfrågningsförfarandet. Intressenter kan lämna kommentarer. Efter färdigställande kommer standarderna att refereras i EU:s officiella tidning.

Också under utveckling parallellt:

  • Generiska säkerhetskrav (horisontell kontrollkatalog)
  • Krav för sårbarhetshantering (horisontell)
  • Ytterligare vertikala standarder av ETSI och andra standardorganisationer

Rekommendationer

För tillverkare är detta rätt tid:

  1. Studera de horisontella standarderna och lämna kommentarer
  2. Implementera ett riskhanteringsramverk enligt EN 40000-1-2
  3. Förbered dig för de slutliga vertikala standarderna för din produktkategori

De som redan implementerar de horisontella kraven kommer att vara väl positionerade när de slutliga produktspecifika standarderna publiceras.

Tillgänglighet

Utkasten kan erhållas via DIN Media och andra nationella standardorgan:

Ytterligare information om de vertikala ETSI-standarderna finns i vår artikel om ETSI-utkast standarder.

Stöd för implementering

EN 40000-familjen bildar den tekniska ryggraden för implementering av Cyber Resilience Act. Secuvi stöder företag i att systematiskt implementera de horisontella kraven - från etablering av riskhanteringsramverket till produktövervakning och design av cybersäkerhetsleverantörsavtal.

Mer på: www.secuvi.com