EN DA
legislation

Implementera Cyber Resilience Act med IEC 62443 och ETSI EN 303 645

7 minuters läsning
Implementera Cyber Resilience Act med IEC 62443 och ETSI EN 303 645

Lär dig hur kombinationen av IEC 62443, ETSI EN 303 645 och EN 18031 hjälper dig att uppfylla kraven i CRA.

Process- och tekniska krav i CRA

Cyber Resilience Act (CRA) ställer krav på både produktutvecklingsprocesser och de tekniska egenskaperna hos produkterna själva. Detta tvåspåriga tillvägagångssätt kräver en differentierad syn på de tillgängliga standarderna och normerna.

Processkrav till stor del täckta av IEC 62443-4-1

De processrelaterade kraven i CRA täcks till stor del av IEC 62443-4-1 "Secure product development lifecycle requirements". Denna standard tillhandahåller ett omfattande ramverk för utveckling av säkra produkter och adresserar aspekter som:

  • Säkerhetshantering
  • Kravanalys
  • Säker design och implementering
  • Verifiering och validering
  • Hantering av sårbarheter och uppdateringar
  • Skapande av användarinformation

Genom att konsekvent tillämpa IEC 62443-4-1 kan tillverkare effektivt implementera de processrelaterade mandaten i CRA och integrera dem i sina utvecklingsprocesser.

Software Bill of Materials (SBOM) i IEC 62443-4-1

Det är viktigt att notera att IEC 62443-4-1 inte ställer explicita krav för att skapa en Software Bill of Materials (SBOM) som krävs av CRA. Men en korrekt och grundlig implementering av standarden resulterar ofta i skapandet av en SBOM eller liknande dokumentation i praktiken:

  • Kravhantering: Standarden kräver detaljerad dokumentation av alla komponenter och deras säkerhetskrav.
  • Konfigurationshantering: Noggrann spårning av alla mjukvarukomponenter och deras versioner krävs.
  • Leverantörshantering: Standarden kräver noggrann övervakning och dokumentation av tredjepartskomponenter.
  • Patchhantering: Effektiv patchhantering kräver precis kunskap om alla mjukvarukomponenter.

Tillsammans leder dessa processer till omfattande dokumentation av mjukvarukomponenter som lätt kan transformeras till en formell SBOM. Företag som fullt implementerar IEC 62443-4-1 kommer därför att upptäcka att de redan fångar och hanterar mycket av den information som behövs för en SBOM.

Tekniska krav: luckor i IEC 62443-3-3 och IEC 62443-4-2

De tekniska egenskaperna som CRA kräver av produkter täcks inte fullt av IEC 62443-3-3 "System security requirements and security levels" och IEC 62443-4-2 "Technical security requirements for IACS components". Dessa standarder, primärt designade för industriella tillämpningar, visar vissa luckor:

  • Saknade integritetskrav: IEC 62443 delarna -3-3 och -4-2 inkluderar inte specifika integritetskrav, vilket spelar en viktig roll i CRA.
  • Begränsad tillämpningsområde: Fokus på industriella system täcker inte alla produktkategorier som adresseras av CRA.
  • Brist på detaljer inom vissa områden: Vissa specifika tekniska egenskaper som krävs av CRA täcks inte, eller inte tillräckligt.

Kompletterande standarder för att täppa igen luckorna

För att täppa igen luckorna i de tekniska kraven kan tillverkare förlita sig på kompletterande standarder:

  • ETSI EN 303 645
    Denna standard definierar cybersäkerhetskrav för konsument-IoT-enheter. Den adresserar många av de tekniska egenskaper som krävs av CRA, särskilt inom områdena integritet och konsumentproduktsäkerhet.
  • EN 18031
    Denna standard ställer cybersäkerhetskrav för radioutrustning och stöder implementering av den delegerade akten till Radio Equipment Directive. Den erbjuder värdefulla bestämmelser för säkerheten hos produkter med radiogränssnitt, som också faller under CRA.

En omfattande kartläggning av CRA-kraven till olika standarder publicerades för en tid sedan av ENISA. Ytterligare detaljer ges i vår artikel Kartläggning av CRA till standarder.

För att illustrera skillnaderna och luckorna i de tekniska kraven finns här några konkreta exempel:

CRA IEC 62443 ETSI EN 303 645
Produkter ska endast bearbeta data som är nödvändiga för deras funktion. Innehåller inga specifika krav på dataminimering. Kräver explicit minimering av persondata (Bestämmelse 5.8-1).
Skydd mot obehörig åtkomst genom lämpliga kontroller. Krav från område FR 1 (Identification and authentication control) beskriver detaljerade krav för olika aspekter av åtkomstkontroll, inklusive identifiering och autentisering. Innehåller krav för autentisering, till exempel kravet på unika lösenord per enhet eller användardefinierade lösenord om enheten inte längre är i fabriksinställning. Dessa är dock betydligt mindre detaljerade än de i IEC 62443-4-2.
Produkter måste levereras med en säker standardkonfiguration. IEC 62443-4-2 kräver i krav CR 7.7 "Least functionality" att komponenter kan konfigureras så att endast nödvändiga funktioner är aktiverade. Kräver att alla lösenord som inte är lika med fabriksstandarden antingen är unika per enhet eller ställs in av användaren.

EN 18031 blir relevant där varken IEC 62443-4-2/-3-3 eller ETSI EN 303 645 tillhandahåller krav. Ett exempel är att minimera negativ påverkan på andra enheter eller nätverk, vilket EN 18031 adresserar.

Kompletterande tillämpning trots olika omfattningar

Även om de nämnda standarderna har olika tillämpningsdomäner ger de tillsammans en solid grund för att implementera CRA-krav:

  • IEC 62443: Fokus på industriella tillämpningar
  • ETSI EN 303 645: Riktat mot konsument-IoT-enheter
  • EN 18031: Tillämpligt på radioutrustning inom både konsument- och industrisektorerna

Trots dessa olika fokus kan tillverkare använda standarderna kompletterande för att täcka det breda spektrumet av CRA-krav. Kombinationen möjliggör övervägande av både industriella och konsumentorienterade aspekter och integration av specifika krav för radioutrustning.

Slutsats holistiskt tillvägagångssätt krävs

Implementering av Cyber Resilience Act (CRA) kräver ett holistiskt tillvägagångssätt som adresserar både processrelaterade och tekniska aspekter. Analysen visar att ingen enskild standard fullt täcker alla CRA-krav, men en kombination av standarder ger en solid bas.

IEC 62443-4-1 visar sig vara en utmärkt bas för CRA:s processkrav. Företag som redan arbetar enligt denna standard har en betydande fördel vid implementering av CRA. Även om standarden inte uttryckligen föreskriver att skapa en Software Bill of Materials (SBOM), leder en grundlig implementering av IEC 62443-4-1 ofta till att samla in nödvändig information i praktiken.

För de tekniska kraven ger en kombination av IEC 62443-4-2/-3-3, ETSI EN 303 645 och EN 18031 den mest omfattande täckningen:

  • IEC 62443-4-2/-3-3 erbjuder detaljerade tekniska krav, särskilt för industriella system.
  • ETSI EN 303 645 kompletterar med specifika krav för konsument-IoT-enheter, särskilt inom områden som dataminimering och integritet.
  • EN 18031 fyller viktiga luckor, särskilt angående krav för radioutrustning och deras påverkan på andra enheter och nätverk.

Trots de olika tillämpningsområdena för dessa standarder kan tillverkare använda dem kompletterande för att täcka det breda spektrumet av CRA-krav. Detta tillvägagångssätt möjliggör övervägande av både industriella och konsumentaspekter och integration av specifika radioutrustningskrav.

Tillverkare bör, när de implementerar CRA:

  1. Implementera IEC 62443-4-1 som grund för sina utvecklingsprocesser.
  2. Använda de tekniska kraven i IEC 62443-4-2/-3-3 som grund för sina produkter.
  3. Tillämpa ETSI EN 303 645 och EN 18031 för ytterligare krav som inte täcks av IEC 62443.
  4. Identifiera luckor som inte helt täcks av någon standard och utveckla egna lösningar.

Detta integrerade tillvägagångssätt gör det möjligt för företag att utveckla motståndskraftiga och kompatibla produkter som uppfyller både regulatoriska krav och säkerhetsbehov över olika tillämpningsområden. Det är viktigt att notera att standardlandskapet kommer att fortsätta utvecklas, och företag bör vara beredda att anpassa sina tillvägagångssätt när nya eller uppdaterade standarder publiceras.

I slutändan kommer framgångsrik implementering av CRA att bero på företagens förmåga att integrera dessa olika standarder och bästa praxis i ett sammanhängande, produktspecifikt säkerhetskoncept. Detta kräver inte bara teknisk expertis utan också djup förståelse för regulatoriska krav och de specifika riskerna inom relevanta tillämpningsområden.

Om du behöver stöd med att tillämpa dessa standarder eller implementera CRA-krav, kontakta oss utan förpliktelse. Våra experter står redo att hjälpa till med sin omfattande erfarenhet av implementering av standarder och regulatoriska krav och hjälpa dig utveckla en skräddarsydd strategi för ditt företag.