EN SV
standards

EN 40000-serien forklaret

15 minutters læsning
EN 40000-serien forklaret

Europas nye cybersikkerhedsstandard for produkter med digitale elementer

prEN 40000-serien er den første horisontale europæiske standard designet til at støtte overholdelse af Cyber Resilience Act (CRA). Den dækker alt fra ordforråd og principper til sårbarheds-håndtering, generiske sikkerhedskrav og trusselmodellering. Her er hvad producenter, importører og distributører skal vide.

Hvorfor EN 40000 betyder noget nu

Cyber Resilience Act (Forordning (EU) 2024/2847) etablerer obligatoriske cybersikkerhedskrav for praktisk talt alle produkter med digitale elementer solgt i Den Europæiske Union. Fra tilsluttede forbrugerenheder til industriel software kræver CRA, at producenter bygger sikkerhed ind fra start og vedligeholder den gennem hele et produkts livscyklus.

Men forordning alene fortæller dig ikke hvordan du overholder. Det er der, hvor harmoniserede standarder kommer ind.

prEN 40000-serien udvikles af CEN/CLC/JTC 13 "Cybersecurity and Data Protection" under Kommissionens standardiseringsanmodning C(2025)618 (kendt som M/606). Når disse standarder citeres i Den Europæiske Unions Tidende, giver overholdelse af dem en formodning om overensstemmelse med CRA's væsentlige cybersikkerhedskrav. I praktiske termer er at følge EN 40000 den mest ligetil vej til at demonstrere CRA-overholdelse.

Alle fem dele er i øjeblikket i udkast, indsendt til CEN-høring. Delene 1-4 og 1-5 er på et tidligere udkaststadium end de første tre. Standarderne forventes at være færdiggjort og citeret før CRA's fulde anvendelsesdato den 11. december 2027, selvom producenter ikke bør vente på endelig offentliggørelse for at begynde forberedelserne.

EN 40000-familien på et øjeblik

Serien omfatter fem dokumenter, der hver adresserer et andet aspekt af produktcybersikkerhed.

EN 40000-1-1 (Ordforråd) giver den fælles terminologi og definitioner brugt på tværs af serien. Udkast, CEN-høringsstadium.

EN 40000-1-2 (Principper for cyber resilience) etablerer kernen cybersikkerhedsprincipper, risikostyringsmetodologi og livscyklusaktiviteter. Udkast, CEN-høringsstadium.

EN 40000-1-3 (Sårbarheds-håndtering) definerer krav til håndtering af sårbarheder gennem hele produktlivscyklusen. Udkast, CEN-høringsstadium.

EN 40000-1-4 (Generiske sikkerhedskrav) katalogiserer specifikke sikkerhedskrav, der kortlægger til CRA Bilag I. Udkast, CEN-høringsstadium, tidligere end de første tre dele.

TR 40000-1-5 (Trusler og sikkerhedsmål) kortlægger trusler til sikkerhedsmål til risiko-vurderingsformål. Dette er en Teknisk Rapport snarere end en normativ standard. Udkast, TR-afstemningsstadium.

Dokumenterne er designet til at arbejde sammen. Del 1-1 giver det delte sprog. Del 1-2 etablerer de overordnede principper og rammeværket. Del 1-3 adresserer den specifikke forpligtelse til sårbarheds-håndtering. Del 1-4 giver de detaljerede tekniske krav. Og TR 1-5 tilbyder det analytiske grundlag for risiko-vurdering ved at kortlægge trusler til sikkerhedsmål.

Vigtigt er det, at EN 40000 er en horisontal standard. Den gælder på tværs af alle produktkategorier. Sektorspecifikke (vertikale) standarder for bestemte industrier kan bygge oven på EN 40000 og tilføje domænespecifikke krav, hvor det er nødvendigt. EN 40000 sætter baseline, som hver producent skal opfylde, uanset sektor.

EN 40000-1-1, det delte ordforråd

Det kan virke usædvanligt at dedikere en hel standard til definitioner, men alle der har arbejdet på tværs af flere cybersikkerhedsrammeværk ved, hvor meget forvirring der opstår fra inkonsistent terminologi. "Risiko", "sårbarhed", "trussel" og "aktiv" kan betyde forskellige ting afhængig af hvilken standard du læser.

EN 40000-1-1 etablerer de autoritative definitioner for hele serien. Nøgletermer inkluderer:

  • Acceptabel risiko betyder risiko der accepteres i en given kontekst baseret på nuværende værdier
  • Aktiv refererer til alt der har værdi for en person eller organisation
  • Autenticitet er egenskaben at en enhed er det den påstår at være
  • Fortrolighed, integritet, tilgængelighed danner den klassiske CIA-triade, præcist defineret
  • Sandsynlighed beskriver chancen for at noget sker
  • Afhjælpning dækker handling taget for at rette en sårbarhed
  • Restrisiko er risikoen der forbliver efter behandling
  • Sikkerhedsmål er en erklæring der beskriver hvad en sikkerhedsforanstaltning sigter mod at opnå
  • Software-pakke refererer til en distribuerbar enhed af software

Disse definitioner tilpasser sig etableret ISO/IEC-terminologi hvor muligt, men er skræddersyet til CRA-konteksten. Når man forbereder dokumentation til CRA-overensstemmelse, sikrer brug af den nøjagtige terminologi fra EN 40000-1-1 konsistens og reducerer risikoen for fejlfortolkning under overensstemmelsesvurdering.

EN 40000-1-2, kernerammeværket for cyber resilience

Del 1-2 er hjertet i EN 40000-serien. Den definerer cybersikkerhedsprincipperne, risiko-styringsmetodologien og livscyklusaktiviteterne som producenter skal følge. Hvis du kun læser én del af EN 40000, gør det denne.

De fire cybersikkerhedsprincipper

EN 40000-1-2 etablerer fire fundamentale principper der understøtter alt andet.

1. Risiko-baseret tilgang til cybersikkerhed. Sikkerhedsforanstaltninger skal være proportionale med risiciene. Ikke alle produkter har brug for samme beskyttelsesniveau. En tilsluttet pacemaker og en smart lyspære møder forskellige trusselsbilleder, og deres sikkerhedskrav bør afspejle det.

2. Sikkerhed ved design. Cybersikkerhed skal overvejes fra de tidligste stadier af produktudvikling, ikke boltet på som en eftertanke. Dette betyder at integrere sikkerhed i kravindsamling, arkitektur, design, implementering og test.

3. Sikker som standard. Produkter bør være sikre ud af boksen uden at kræve at brugeren konfigurerer sikkerhedsindstillinger. Standardadgangskoder, unødvendige åbne porte og alt for tilladelige adgangskontroller er præcis hvad dette princip sigter mod at eliminere.

4. Gennemsigtighed. Producenter skal være gennemsigtige om deres produkters sikkerhedsegenskaber, kendte begrænsninger og de foranstaltninger taget for at adressere risici. Dette inkluderer at give klar sikkerhedsdokumentation til brugere.

Risiko-styringsrammeværk

Standarden definerer en struktureret tilgang til risikostyring for produktcybersikkerhed:

  • Produkt kontekst etablering for at forstå produktets tilsigtede miljø, brugere og grænseflader
  • Risiko-acceptkriterier for at definere hvilket risikoniveau der er acceptabelt for produktet
  • Risikovurdering som en fire-trins proces der dækker aktiv-identifikation, trussel-identifikation, risiko-estimering (sandsynlighed og påvirkning) og risiko-evaluering (sammenligning mod acceptkriterier)
  • Risiko-behandling gennem at vælge passende svar som undgåelse, reduktion, accept eller overførsel
  • Risiko-kommunikation for at sikre at relevante parter informeres om risici og behandlingsbeslutninger
  • Risiko-overvågning og gennemgang for løbende genvurdering efterhånden som trusselsbilledet udvikler sig

Dette rammeværk vil være velkendt for alle der har arbejdet med ISO 27005 eller IEC 62443-3-2, men det er specifikt skræddersyet til produktproducenter frem for organisationer der håndterer informationssystemer.

Ti cybersikkerhedslivscyklusaktiviteter

Måske den mest praktisk betydningsfulde del af EN 40000-1-2 er dens definition af ti cybersikkerhedsaktiviteter der spænder over hele produktlivscyklusen:

  1. Produktcybersikkerhedsplanlægning for at etablere hvilket cybersikkerhedsarbejde der skal ske og hvornår
  2. Produktcybersikkerhedskrav for at definere specifikke sikkerhedskrav baseret på risiko-vurderingen
  3. Cybersikkerhedsarkitektur og design for at oversætte krav til en sikker produktarkitektur
  4. Sikker implementering der dækker sikker kode, sikker hardwarekonfiguration og sikre kodningsmetoder
  5. Cybersikkerhedsverifikation og validering for at teste at sikkerhedskrav faktisk opfyldes
  6. Sikker produktion og distribution der sikrer at produktet ikke kompromitteres under fremstilling eller levering
  7. Cybersikkerhedsproblem håndtering til håndtering af sikkerhedsproblemer opdaget efter udgivelse
  8. Produktovervågning for aktivt at overvåge nye sårbarheder og trusler
  9. Planlægning for sikker udmustning der sikrer at produkter kan trækkes tilbage sikkert, herunder data-sletning
  10. Tredjepartskomponent cybersikkerhedshåndtering til håndtering af sikkerheden for komponenter indkøbt fra andre leverandører

Den sidste aktivitet er særligt vigtig. Moderne produkter inkorporerer dusin eller hundredvis af tredjepartskomponenter, hver med deres egen sikkerhedsposition. EN 40000-1-2 introducerer konceptet om en Cybersikkerhedsleverandøraftale (CSSA), et rammeværk til håndtering af cybersikkerhedskrav i forsyningskæden. Bilag B giver et informativt eksempel på hvad sådan en aftale bør indeholde.

Standarden inkluderer også Bilag C, der kortlægger hvert krav tilbage til de specifikke væsentlige cybersikkerhedskrav i CRA Bilag I. Denne kortlægning er uvurderlig for overholdelssteams der bygger deres overensstemmelsesdokumentation.

EN 40000-1-3, sårbarheds-håndteringens rygrad

Hvis EN 40000-1-2 definerer hvad der skal bygges, definerer EN 40000-1-3 hvad man skal gøre når ting går galt. Og ting vil gå galt. Sårbarheder opstår over tid i hvert produkt, uanset hvor godt det blev designet. CRA gør sårbarheds-håndtering til en obligatorisk forpligtelse, ikke valgfri bedste praksis. EN 40000-1-3 giver rammeværket til at opfylde den forpligtelse.

Den seks-fasede sårbarheds livscyklus

Standarden strukturerer sårbarheds-håndtering i seks forskellige faser.

1. Forberedelse. Før du kan håndtere sårbarheder effektivt, har du brug for de rigtige fundamenter på plads. Dette inkluderer en dokumenteret sårbarheds-håndteringspolitik, en koordineret sårbarheds-offentliggørelsespolitik (CVD) så sikkerhedsforskere ved hvordan de skal rapportere problemer, operationel sikkerhed for dine sårbarheds-håndteringsprocesser, sikre kommunikationskanaler, produkt-identifikationsmekanismer, en Software Bill of Materials (SBOM) der identificerer alle softwarekomponenter, hardware-komponent identifikation hvor relevant, planer for regelmæssig sikkerhedstest og mekanismer til distribution af sikkerhedsopdateringer.

SBOM-kravet fortjener særlig opmærksomhed. CRA kræver at producenter vedligeholder en SBOM for hvert produkt med digitale elementer. EN 40000-1-3 specificerer hvad den SBOM skal indeholde og hvordan den bør vedligeholdes. Dette er et af de mest operationelt krævende krav for mange producenter, særligt dem der ikke tidligere har sporet deres software forsyningskæde i detaljer.

2. Modtagelse. Denne fase dækker hvordan du lærer om sårbarheder: vedligeholde evnen til at modtage rapporter fra eksterne forskere, brugere og andre kilder; aktivt overvåge interne og eksterne kilder (CVE-databaser, sikkerhedsrådgivninger, trussel intelligens feeds); identificere hvilke produkter og komponenter der måtte blive påvirket; engagere koordinatorer som nationale CSIRT'er når passende; og udføre regelmæssig sikkerhedstest for at finde sårbarheder proaktivt.

3. Verifikation. Når en potentiel sårbarhed er identificeret, skal den vurderes gennem indledende vurdering for at bekræfte om problemet er ægte, sårbarheds-risikovurdering for at bestemme sværhedsgrad og udnyttelighed, og prioritering baseret på risikovurderingsresultaterne.

4. Afhjælpning. Bekræftede sårbarheder skal rettes. Dette involverer en afhjælpningsbeslutning (patch, workaround, konfigurationsændring eller accepter og dokumenter), afhjælpningsudvikling og afhjælpningstest for at verificere at rettelsen virker uden at introducere nye problemer.

5. Udgivelse. Rettelser skal nå brugere gennem etablerede distributionskanaler, ledsaget af rådgivninger der informerer brugere om sårbarheden og den tilgængelige rettelse, herunder sværhedsgrad, påvirkede versioner og afhjælpningstrin.

6. Efter-udgivelse. Efter en rettelse er udgivet fortsætter arbejdet. Dette betyder overvågning af adoption af rettelsen, overvågning af relaterede sårbarheder eller udnyttelsesførsøg, og opdatering af risikovurderingen baseret på virkelige oplysninger.

Udover eksisterende standarder

EN 40000-1-3 bygger på etablerede sårbarheds-håndteringsstandarder (EN ISO/IEC 30111 og EN ISO/IEC 29147) men går betydeligt videre. Nøgletilføjelser inkluderer obligatoriske SBOM-krav, regelmæssig test og gennemgang for proaktiv sårbarheds-opdagelse, CVD-forpligtelser udover bare en kontakt-email, risiko-baseret stringens hvor højere kritikalitetsprodukter gennemgår mere hyppig test, og kravsforstærkninger for produkter hvor et sikkerhedssvigt kunne have særligt alvorlige konsekvenser.

CRA selv skelner mellem standard-, vigtige og kritiske produktkategorier, og EN 40000-1-3 tilpasser sine forventninger derefter.

EN 40000-1-4, det tekniske sikkerhedskrav katalog

Bemærk: denne del er på et tidligere udkaststadium og genstand for ændringer.

Mens EN 40000-1-2 definerer principper og processer, giver EN 40000-1-4 de specifikke tekniske sikkerhedskrav som produkter skal opfylde. Den er struktureret som et katalog over krav der kortlægger direkte til de væsentlige krav i CRA Bilag I, Del I(2).

Standarden dækker tretten kravområder:

  1. Sårbarhedsvurdering til vurdering og test af produkter mod kendte sårbarheder
  2. Sikker konfiguration der kræver at produkter understøtter sikker konfiguration og leveres med sikre standardindstillinger
  3. Sikkerhedsopdateringer der dækker mekanismer til levering og anvendelse af opdateringer
  4. Adgangskontrol herunder autentifikation, autorisation og adgangshåndtering
  5. Fortrolighedsbeskyttelse gennem kryptering og databeskyttelse i hvile og under transport
  6. Integritetsbeskyttelse med mekanismer til at opdage og forhindre uautoriseret modificering
  7. Data-minimering der sikrer at produkter kun behandler data nødvendige for deres funktion
  8. Tilgængelighed med modstandsdygtighed mod denial-of-service og ressource-udmattelse
  9. Ekstern påvirkningsbeskyttelse der forhindrer produkter i negativt at påvirke sikkerheden af andre systemer
  10. Angrebsoverflade minimering for at reducere potentielle indgangspunkter for angribere
  11. Incident påvirkningsreduktion for at begrænse skade når en sikkerhedsincident opstår
  12. Logning og overvågning til registrering og overvågning af sikkerhedsrelevante begivenheder
  13. Data-sletning der sikrer at brugere sikkert kan fjerne deres data fra produktet

Hvert område indeholder specifikke, testbare krav. Under adgangskontrol specificerer standarden for eksempel krav til autentifikationsmekanismer, adgangskodepolitikker, sessionshåndtering og privilegieseparation. Under sikkerhedsopdateringer adresserer den opdateringsintegritetsverifikation, rollback-muligheder og brugernotifikation.

Standarden definerer også sikkerhedsmål der kortlægger til disse krav og giver forbindelsen mellem hvad du skal gøre og hvorfor. Denne kortlægning er særligt nyttig når man bygger overensstemmelsesdokumentation, da den tillader producenter at demonstrere at hvert CRA-krav adresseres af specifikke produktfunktioner.

TR 40000-1-5, det analytiske fundament for trusselmodellering

Bemærk: dette er en Teknisk Rapport (TR), ikke en normativ standard, og er på et tidligt udkaststadium.

TR 40000-1-5 tager en anden tilgang end de andre dele. Snarere end at definere krav giver den et analytisk værktøj: en struktureret kortlægning af cybersikkerhedstrusler til sikkerhedsmål for produkter med digitale elementer.

Dokumentet tjener tre formål. For det første giver det input til risikovurdering. Producenter der udfører den risikovurdering som kræves af EN 40000-1-2 kan bruge den som et udgangspunkt for at identificere relevante trusler. For det andet giver det et fundament for vertikale standarder. Branchespecifikke standardorganer kan bruge trussel- og målkortlægningen som en baseline. For det tredje brobygger det til CRA-krav. Truslerne og målene er afledt af analyse af de væsentlige krav i CRA Bilag I, hvilket gør dokumentet til en nyttig reference for at forstå den regulatoriske hensigt bag hvert krav.

Det er vigtigt at bemærke at TR 40000-1-5 eksplicit angiver at den ikke giver en komplet liste over alle CRA-relevante trusler. Producenter skal stadig udføre deres egen produktspecifikke risikovurdering. Dokumentet giver et udgangspunkt rammeværk, ikke en færdig analyse.

Hvem skal være opmærksomme

EN 40000-serien påvirker en bred række interessenter.

Producenter af produkter med digitale elementer er den primære målgruppe. Uanset om du laver tilsluttede forbrugerenheder, industriel software, IoT-gateways eller virksomhedsapplikationer, giver EN 40000 rammeværket til at demonstrere CRA-overholdelse. Dette inkluderer både hardwareproducenter og rene softwarevirksomheder.

Importører og distributører har due diligence-forpligtelser under CRA. De skal verificere at produkter de placerer på EU-markedet opfylder de væsentlige krav. At forstå EN 40000 hjælper importører med at vurdere om en producents overensstemmelsespåstande er troværdige.

Open source-forvaltere, hvilket betyder organisationer der systematisk håndterer open source-projekter beregnet til kommerciel brug, har specifikke bestemmelser under CRA. EN 40000's sårbarheds-håndteringskrav er særligt relevante her.

Overensstemmelsesvurderingsorganer vil bruge EN 40000 som benchmark til evaluering af produktoverholdelse, særligt for de "vigtige" og "kritiske" produktkategorier der kræver tredjeparts vurdering.

Sektorspecifikke standardudviklere der bygger vertikale standarder for bilindustrien, medicinsk udstyr, industriel automatisering og andre domæner vil bruge EN 40000 som deres horisontale baseline.

CRA-tidslinjen og hvad man skal gøre nu

CRA-tidslinjen er stram, og flere deadlines nærmer sig.

  • November 2024 så CRA offentliggjort i Den Europæiske Unions Tidende
  • December 2024 markerede CRA's ikrafttræden
  • 11. september 2026 er når sårbarheds-rapporteringsforpligtelser begynder
  • 11. december 2027 er den fulde CRA-anvendelsesdato

September 2026-rapporteringsforpligtelsen fortjener særlig opmærksomhed. Fra den dato skal producenter rapportere aktivt udnyttede sårbarheder til den relevante CSIRT inden for 24 timer. Dette kræver at have sårbarheds-overvågning og rapporteringsprocesser på plads godt før den fulde CRA gælder.

Praktiske trin at tage nu

Start med EN 40000-1-2. Forstå principperne og livscyklusaktiviteterne. Kortlæg dine nuværende udviklingsprocesser mod de ti cybersikkerhedsaktiviteter og identificer huller.

Etabler sårbarheds-håndtering per EN 40000-1-3. Dette er operationelt krævende og tager tid at implementere ordentligt. Begynd at bygge din SBOM-kapacitet, CVD-proces og sikkerhedsopdateringsdistributionsmekanismer nu.

Vurder mod EN 40000-1-4 krav. Selv i udkastform indikerer de generiske sikkerhedskrav hvad den endelige standard vil forvente. Brug dem som en gab-analyse tjekliste for dine produkter.

Brug TR 40000-1-5 til risikovurdering. Hvis du ikke har udført en struktureret trusselanalyse for dine produkter, giver trussel- og målkortlægningen et solidt udgangspunkt.

Forbered din overensstemmelsesdokumentation. Begynd at bygge bevis-sporet der forbinder dine sikkerhedsforanstaltninger til specifikke CRA-krav via EN 40000-kortlægningen.

Overvåg standardudvikling. Udkastene vil udvikle sig før endelig offentliggørelse. Spor ændringer og juster din tilgang derefter.

Vent ikke på at standarderne bliver færdiggjort. CRA-kravene er allerede defineret i forordningen selv. EN 40000 giver metoden til at opfylde disse krav, men forpligtelserne er allerede lov.

Hvordan EN 40000 forholder sig til andre standarder

EN 40000 eksisterer ikke i isolation. Flere etablerede standarder overlapper med eller komplementerer serien.

IEC 62443 for industriel automatisering cybersikkerhed er det mest udbredte industrielle cybersikkerhedsrammeværk. EN 40000 er horisontal og gælder alle produkter med digitale elementer. IEC 62443 er vertikal, fokuseret på industriel automatisering og kontrolsystemer. For industrielle produkter kan begge gælde. IEC 62443-4-1 (sikker udviklingslivscyklus) og IEC 62443-4-2 (komponent sikkerhedskrav) stemmer godt overens med EN 40000's livscyklusaktiviteter og sikkerhedskrav henholdsvis.

ISO 27001/27002 for informationssikkerhedshåndtering fokuserer på organisatorisk sikkerhed snarere end produktsikkerhed. Dog overlapper mange risikostyringskoncepter, og organisationer allerede certificeret til ISO 27001 vil finde EN 40000's risikostyringsrammeværk velkendt.

ETSI EN 303 645 for forbruger-IoT sikkerhed var en tidligere europæisk standard for IoT-enhedssikkerhed. EN 40000 er bredere i omfang og dækker alle produkter med digitale elementer, ikke bare forbruger-IoT.

EN ISO/IEC 30111 og 29147 for sårbarheds-håndtering og offentliggørelse er fundamentstandarderne som EN 40000-1-3 bygger på. EN 40000-1-3 hæver mange af deres anbefalinger til obligatoriske krav og tilføjer CRA-specifikke forpligtelser som SBOM og regelmæssig test.

Forberedelse til EN 40000-æraen

prEN 40000-serien repræsenterer et fundamentalt skift i hvordan cybersikkerhed reguleres på det europæiske marked. For første gang er der en omfattende horisontal standard som producenter kan følge for at demonstrere overholdelse af EU's cybersikkerhedskrav for produkter.

De vigtigste takeaways:

  • EN 40000 giver den mest direkte vej til CRA-overholdelse gennem formodning om overensstemmelse, når standarderne citeres i Den Europæiske Unions Tidende
  • De fem dele arbejder sammen for at danne et komplet rammeværk der spænder over ordforråd, principper, sårbarheds-håndtering, sikkerhedskrav og trusselanalyse
  • Standarderne er stadig i udkast men retningen er klar, og de underliggende CRA-krav er allerede lov
  • Start nu fordi sårbarheds-rapporteringsforpligtelser begynder september 2026, fuld CRA-overholdelse kræves i december 2027, og implementering af disse praksisser tager tid
  • Dette er ikke valgfrit da CRA gælder praktisk talt alle produkter med digitale elementer solgt i EU

Producenter der tilpasser sig EN 40000 nu, selv mens standarderne færdiggøres, vil være bedst positioneret når CRA-deadlines ankommer. Dem der venter på endelig offentliggørelse risikerer at finde sig selv ikke-overensstemmende med ingen tid til at indhente.

Standarderne kan stadig udvikle sig i deres detaljer, men de fundamentale principper (sikkerhed ved design, sikker som standard, risiko-baseret tilgang, gennemsigtighed og obligatorisk sårbarheds-håndtering) er afgjort. At bygge på disse principper i dag er den klogeste investering en producent kan foretage.