EN SV
standards

Cybersikkerhed i IoT alt om ETSI EN 303 645

6 minutters læsning
Cybersikkerhed i IoT alt om ETSI EN 303 645

ETSI EN 303 645 forklaret grundlag, anvendelsesområde, krav, relation til RED og test samt certificering.

Formål og anvendelsesområde for ETSI EN 303 645

ETSI EN 303 645 blev udviklet specifikt for producenter af IoT-enheder for at støtte dem i implementeringen af sikkerhedsforanstaltninger i deres produkter. Standarden er relevant for alle typer IoT-enheder, fra smarte hjemmeprodukter såsom termostater og kameraer til større systemer såsom tilsluttede køretøjer. Dens primære mål er at minimere sikkerhedsrisici og forhindre cyberangreb, der kunne muliggøres af sårbarheder i IoT-enheder.

Hovedkrav i ETSI EN 303 645

Standarden omfatter en række krav, der kan grupperes i flere hovedkategorier:

  1. Ingen universelle standardadgangskoder: IoT-enheder må ikke bruge let gættelige eller gentagne standardadgangskoder. Hver enhed skal leveres med en unik adgangskode.
  2. Implementering af sikker kommunikation: Alle kommunikationskanaler, der bruges af IoT-enheder, skal være krypterede for at sikre dataintegritet og fortrolighed.
  3. Sikre softwareopdateringer: Evnen til at opdatere software sikkert er et væsentligt krav. Dette omfatter mekanismer til at autentificere opdateringer og forhindre angreb via manipuleret software.
  4. Lagring af personlige data: Standarden kræver, at personlige data lagres og behandles sikkert for at garantere privatlivets fred og datasikkerhed.
  5. Sårbarhedsrapporteringssystemer: Producenter skal implementere en procedure for rapportering og reparation af sikkerhedssårbarheder, så problemer kan adresseres effektivt og ansvarligt.
  6. Minimal eksponering af tjenester: IoT-enheder skal kun eksponere de minimalt nødvendige tjenester eksternt for at reducere angrebsfladen.

I praksis er et hyppigt spørgsmål, hvilke krav i ETSI EN 303 645, der faktisk er relevante for et specifikt IoT-produkt og i hvilken dybde de skal implementeres. Hvis du ønsker at afklare dette for dit produkt, kan en kort samtale være nyttig.

Betydning og indvirkning af standarden

Introduktionen af ETSI EN 303 645 er et vigtigt skridt mod standardisering af sikkerhedskrav for IoT-enheder. Den hjælper med at styrke forbrugernes tillid til IoT-teknologier og fremmer udviklingen af mere sikre produkter. For producenter forbedrer overholdelse af denne standard ikke kun produktsikkerhed, men kan også tjene som en markedsdifferentiator, da sikkerhed er et stadig vigtigere salgsargument.

Test og certificering af ETSI EN 303 645

IoT-enheder skal opfylde de grundlæggende sikkerhedskrav i ETSI EN 303 645 for at blive betragtet som sikre. ETSI TS 103 701 giver midlerne til at vurdere denne overensstemmelse. BSI TR-03173 tilføjer specifikke kriterier, der forbedrer kvaliteten og nøjagtigheden af overensstemmelsesassessments.

Forholdet mellem ETSI EN 303 645, ETSI TS 103 701 og BSI TR-03173.

ETSI EN 303 645 - cyber security for consumer Internet of Things baseline requirements

ETSI EN 303 645 definerer de grundlæggende krav til cybersikkerhed for forbruger-IoT-enheder. Den har til formål at skabe et sikkerhedsfundament ved at tilbyde producenter vejledning i, hvordan man designer produkter sikkert fra begyndelsen (security by design). Standarden dækker en bred vifte af enheder og omfatter obligatoriske sikkerhedsmekanismer samt yderligere anbefalinger, der kun må udelades under specifikke omstændigheder.

ETSI TS 103 701 - cyber security for consumer Internet of Things conformance assessment of baseline requirements

ETSI TS 103 701 supplerer ETSI EN 303 645 ved at give en testspecifikation for overensstemmelsesassessment. Denne specifikation indeholder testcases for hvert sikkerhedskrav og anbefaling fra EN 303 645 og tilbyder en metodologi til at evaluere, om en IoT-enhed opfylder disse krav. TS 103 701 hjælper producenter og testorganer med systematisk at verificere sikkerhedsegenskaberne ved IoT-enheder.

BSI TR-03173 ændringer for overensstemmelsesassessments

Den tekniske retningslinje BSI TR-03173 supplerer ETSI EN 303 645 og ETSI TS 103 701 ved at specificere forfininger for udførelse af overensstemmelsesassessments. Disse forfininger har til formål at afklare generiske aspekter af standarden og testspecifikationen, særligt på områder såsom brugervenlighed, som behandles som informative i den oprindelige testspecifikation.

Yderligere information om consumer IoT-certificering er tilgængelig fra BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Consumer-IoT/Consumer-IoT.html

Forhold mellem ETSI EN 303 645 og Radio Equipment Directive (RED)

Delegated Act til Radio Equipment Directive (RED) er en bindende EU-retsakt, der fastsætter specifikke sikkerheds- og privatlivskrav for radioudstyr. I modsætning hertil er ETSI EN 303 645 en teknisk standard, der giver anbefalinger om cybersikkerhed for IoT-enheder og er ikke juridisk bindende.

Producenter kan bruge ETSI EN 303 645 til at hjælpe med at opfylde kravene i RED Delegated Act, særligt på området cybersikkerhed for forbruger-IoT-enheder. Imidlertid er EN 303 645 specifikt rettet mod forbrugerprodukter og er ikke egnet til alle produkttyper, der er dækket af RED. Producenter, hvis produkter falder uden for denne kategori, skal overveje andre standarder for fuldt ud at overholde RED-kravene.

Se også artiklerne om Radio Equipment Directive og EN 18031 - den nye standardserie for cybersikkerhed i radioudstyr.

Forhold mellem ETSI EN 303 645 og EN 18031

ETSI EN 303 645 og EN 18031-standardserien supplerer hinanden i deres tilgang til forbedring af cybersikkerheden for tilsluttede enheder. Mens ETSI EN 303 645 fokuserer på forbruger-IoT-enheder og definerer grundlæggende sikkerhedskrav, adresserer EN 18031-serien specifikt cybersikkerhed for radioudstyr i forbindelse med Radio Equipment Directive (RED).

EN 18031-serien, bestående af flere dele, giver detaljerede tekniske specifikationer for forskellige aspekter af radioudstyrssikkerhed. Den dækker emner såsom netværksbeskyttelse, beskyttelse af personlige data og beskyttelse mod svindel. I modsætning hertil tilbyder ETSI EN 303 645 en bredere, men mindre specifik tilgang for IoT-enheder generelt.

Producenter af IoT-enheder, der også klassificeres som radioudstyr, kan have behov for at overveje begge standarder. ETSI EN 303 645 kan tjene som udgangspunkt for grundlæggende sikkerhedsforanstaltninger, mens EN 18031-serien giver yderligere, specifikke krav for radioaspekterne af enheden. Tilsammen danner disse standarder et omfattende framework for sikkerheden af tilsluttede enheder i Europa.

ETSI EN 303 645 er en central byggesten for cybersikkerheden af forbruger-IoT-produkter og spiller en vigtig rolle i den regulatoriske kontekst. Hvis du ønsker at forstå, hvordan standarden gælder for dine produkter, og hvordan den forbindes med RED, EN 18031 eller CRA, kan dette afklares i en uformel, uforpligtende samtale.