ETSI udgiver CRA-standarder, der dækker routere til virtualisering. Udkastene fastlægger konkrete krav og testbare sikkerhedsforanstaltninger, med alle detaljer opsummeret.
Oversigt over offentliggjorte udkast til standarder
ETSI har gjort følgende udkast til standarder tilgængelige gennem deres Open Consultation Platform:
- EN 304 618 - Password Managers (Version 0.0.3, 29.09.2025)
- EN 304 619 - Antivirus (Version 0.0.5, 30.09.2025)
- EN 304 623 - Boot Managers (Version 0.0.4, 30.09.2025)
- EN 304 625 - Network Interfaces (Version 0.0.5, 22.09.2025)
- EN 304 626 - Operating Systems (Version 0.0.6, 22.09.2025)
- EN 304 627 - Routers, Modems, Switches (Version 0.0.7, 29.09.2025)
- EN 304 635 - Virtualisation & Containers (Version 0.0.6, 01.10.2025)
Med et samlet omfang på over 400 sider giver disse dokumenter en omfattende ramme, selvom de stadig vil gennemgå betydelige revisioner.
Strukturelt layout af standarderne
ETSI-udkastene følger et ensartet, fire-trins koncept, der bringer klarhed og sporbarhed til cybersikkerhedskravene:
1. Use cases - realistiske implementeringsscenarier
Hver standard begynder med konkrete use cases, der beskriver typiske implementeringsscenarier for Products With Digital Elements (PWDE).
Eksempel fra EN 304 623 (Boot Manager): Use case "Home Modem" beskriver det typiske hjemmemiljø, eksisterende sikkerhedsforanstaltninger og forventede anvendelsesmønstre som webbrowsing, hjemmekontor og online gaming. Denne realistiske tilgang giver producenter mulighed for at placere deres produkter i den rette kontekst.
2. Threats and risk considerations - trusler og risici
Med udgangspunkt i use cases analyserer standarderne systematisk truselslandskabet, identificerer specifikke risikofaktorer og tager produktspecifikke evner i betragtning under risikovurderingen.
Eksempel fra EN 304 626 (Operating Systems): Risikotolerance klassificeres i fire niveauer - fra kritiske miljøer (RT-C: høj følsomhed, lav tolerance) til miljøer med høj risikotolerance (RT-H: ubetydelig potentiel skade, ingen forventning om regelmæssige sikkerhedsopdateringer). Denne kategorisering betragter produktet i forhold til potentiel skade og sandsynlighed for forekomst.
3. Mitigations - sikkerhedsforanstaltninger og krav
For at imødegå de identificerede risici foreslår standarderne forskellige afbødende foranstaltninger. Disse inkluderer tekniske krav og sikkerhedskontroller, der skal implementeres.
En interessant tilgang kan findes i EN 304 627 (Router), som bruger "capability-based conditions": produktets specifikke evner bestemmer, hvilke sikkerhedskrav der er relevante. Dette muliggør fleksibel, produkttilpasset anvendelse af standarderne.
4. Assessment - objektiv testbarhed
Standarderne definerer testkriterier til evaluering af overholdelse af kravene. Som understreget i EN 304 625 (Network Interfaces) bør krav "ideelt være objektivt testbare på en produktinstans" for at muliggøre uafhængige vurderinger af markedsovervågningsmyndigheder.
Hvor det er nødvendigt, kan "Check-box Requirements" bruges - strukturerede beslutningsträer, der giver producenter en ramme til at dokumentere begrundelsen for deres compliance.
Implikationer for praksis
Denne tidlige offentliggørelse af udkastene fra ETSI er bemærkelsesværdig og tilbyder producenter og andre interessenter flere fordele:
Tidlig indsigt: Udkastene giver et værdifuldt overblik over retning og omfang af standardiseringsindsatsen, selvom betydelige revisioner stadig kan forventes.
Mulighed for at forme resultater: Den offentlige konsultationsfase giver industrien mulighed for aktivt at give feedback og hjælpe med at forme standardernes endelige form.
Planlægningssikkerhed: Virksomheder kan allerede begynde at tilpasse deres produkter og processer til de kommende krav.
Anbefalede tiltag
Producenter af berørte produkter bør grundigt gennemgå de udkast til standarder, der er relevante for dem, og deltage i konsultationen. Kommentarskabeloner er tilgængelige via ETSI Open Consultation Platform.
Hvis der er spørgsmål om kontakt til de ansvarlige ETSI-organer eller indsendelse af kommentarer, kan interesserede parter henvende sig til deres nationale standardiseringsorganisationer eller direkte til ETSI TC CYBER-EUSR.
Konklusion
Med offentliggørelsen af disse syv udkast til standarder gør ETSI de abstrakte krav i Cyber Resilience Act håndgribelige og handlingsanvisende. Den strukturerede tilgang på tværs af use cases, risikofaktorer, afbødende foranstaltninger og vurdering skaber en klar ramme for producenter.
Mange tak til medlemmerne af ETSI TC CYBER-EUSR for deres arbejde med disse vigtige standarder. Den tidlige åbning af konsultationsprocessen er et positivt tegn på transparent og praksisorienteret standardisering inden for cybersikkerhed.