Harmoniserede standarder for Cyber Resilience Act forklaret EN 40000-1-1 (terminologi), EN 40000-1-2 (principper for cyber modstandsdygtighed) og EN 40000-1-3 (sårbarhedshåndtering).
Positionering af EN 40000 i konteksten af EU cybersikkerhedsregulering
Cyber Resilience Act (CRA) definerer grundlæggende krav til cybersikkerheden for produkter med digitale elementer i bilag I. Disse krav er bevidst formuleret på et abstrakt niveau og adresserer både tekniske produktkarakteristika og organisatoriske forpligtelser gennem hele produktets livscyklus.
Standarderne i EN 40000 serien er designet som horisontale standarder til at understøtte Cyber Resilience Act. De strukturerer og specificerer kravene formuleret i CRA uden selv at være juridisk bindende. Målet med serien er at skabe en ensartet referenceramme for fortolkning af CRA kravene, særligt med hensyn til risikovurdering, sikkerhedsprincipper og sårbarhedshåndtering.
Nuværende standardiseringsstatus og skel mellem EN og prEN
Standarderne i EN 40000 serien er i øjeblikket (ved udgangen af 2025) mest på udkast eller diskussionsstadier inden for de europæiske standardiseringsorganer. Standardiseringsprocessen begynder typisk med en prEN (foreløbig europæisk standard eller udkastsstandard), som tjener offentlig diskussion, kommentarer og konsensusopbygning. En prEN er formelt endnu ikke en bindende standard men en mellemstatus der kan konverteres til en EN (europæisk standard) efter intern revision og godkendelse af de nationale standardorganisationer.
En EN er derimod en vedtaget europæisk standard der officielt er overtaget af medlemsstandardorganisationerne (f.eks. DIN i Tyskland) - inklusive ukritisk adoption i nationale standardsamlinger. EN standarder står derfor på et juridisk og praktisk højere niveau end prENer de er stabile referencer for regulering, kontraktudarbejdelse eller harmonisering. prEN tekster kan variere væsentligt i indhold, er ikke bindende som udkast og kan ændres. Producenter bør derfor altid holde udkastsstatus og mulige afvigelser fra den endelige EN in mente når de bruger prEN indhold.
I tilfældet med EN 40000 serien er flere dele i øjeblikket tilgængelige som prENer. Disse udkast kan ses via DIN standardportalen, hvilket tillader tidlig teknisk orientering men erstatter ikke den senere formelle konsolidering til en EN.
I praksis rejser arbejde med prEN udkast spørgsmål Hvad kan allerede bruges, hvad er stadig foreløbigt og hvor er risiciene? Hvis du ønsker at afklare denne sondring for din CRA forberedelse kan en kort afstemningsdiskussion hjælpe.
Struktur af EN 40000 serien
Serien er modulær og dækker forskellige lag af cybersikkerhed
prEN 40000-1-1 - vokabular
Denne standard definerer centrale termer i konteksten af cybersikkerhed for produkter med digitale elementer. Den giver et fælles vokabular påkrævet for konsistent anvendelse af de andre standarder. Indholdsmæssigt indeholder den kun termdefinitioner og ingen normative krav til produkter eller processer.
prEN 40000-1-2 - principper for cyber modstandsdygtighed
Denne del beskriver grundlæggende principper for cyber modstandsdygtighed, inklusive risikobaserede tilgange, sikkerhed ved design, sikker som standard og gennemsigtighed. Standarden formulerer generelle vejledende principper og placerer dem langs produktets livscyklus. Indholdsmæssigt svarer den i store dele til de abstrakte krav fra bilag I del I nr. 1 af Cyber Resilience Act.
prEN 40000-1-3 - sårbarhedshåndtering
EN 40000-1-3 specificerer kravene til håndtering af sårbarheder gennem hele produktets livscyklus. Fokus er på organisatoriske og procedurale aspekter af sårbarhedshåndtering, inklusive modtagelse, vurdering, afhjælpning, kommunikation og sporing af sårbarheder. Standarden inkorporerer etablerede koncepter såsom koordineret sårbarhedsafsløring, SBOMer, regelmæssig testning samt opdaterings- og informationsprocesser og indramme dem på en CRA-kompatibel måde. Indholdsmæssigt adresserer den særligt forpligtelserne fra bilag I del II af Cyber Resilience Act.
prEN 40000-1-4 - generiske sikkerhedskrav
EN 40000-1-4 vil være den centrale tekniske standard i den horisontale EN 40000 serie. Mens de foregående dele definerer termer, principper og processer vil denne del specificere de generiske sikkerhedskrav til produkter med digitale elementer i CRAens forstand.
Standarden bygger systematisk på EN 18031 standardserien, som oprindeligt blev udviklet til Radio Equipment Directive (RED). Indholdsmæssigt er EN 40000-1-4 struktureret langs de 13 væsentlige krav fra bilag I del I nr. 2 af Cyber Resilience Act.
Bidrag til formodning om overensstemmelse
Det er vigtigt klart at skelne mellem normativ tilpasning og juridisk effekt
Hverken EN 40000-1-1 eller EN 40000-1-2 er egnede til at etablere en formodning om overensstemmelse under Cyber Resilience Act. EN 40000-1-1 er et rent vokabular uden krav. EN 40000-1-2 beskriver generelle principper der indholdsmæssigt svarer til de lovpligtige minimumskrav men oversætter dem ikke til verificerbare, produktspecifikke krav.
EN 40000-1-3 adresserer konkrete forpligtelser til sårbarhedshåndtering men er også designet som en horisontal processtandard. Det bør ikke antages at den alene etablerer en formodning om overensstemmelse for specifikke produkter. Snarere forventes den at blive brugt som reference for "state of the art" og som vejledning for passende organisatoriske foranstaltninger.
EN 40000 standarderne giver orientering men erstatter ikke produktspecifikke beviser. Vi diskuterer gerne uforpligtende hvilken rolle EN 40000 serien realistisk kan spille i din overensstemmelsesstrategi - og hvor supplerende standarder eller foranstaltninger er påkrævet.
Forhold til andre standarder og normer
EN 40000 serien står ikke alene men supplerer det eksisterende standardlandskab. Indholdsoverlap eksisterer blandt andre med IEC 62443-4-1 (sikker udviklingslivscyklus), ISO/IEC 27001-relaterede processer, ETSI standarder i radiodomænet samt ISO/IEC standarder for sårbarhedsafsløring og håndtering. I modsætning til mange af disse standarder er EN 40000 eksplicit skræddersyet til europæisk produktregulering og CRA.
Praktisk note om tilgængelighed
EN 40000 standarderne er i øjeblikket på udkastsstadiet. De relevante udkastsstandarder kan delvist ses gratis via DIN standardportalen. Dette giver producenter og andre interesserede parter mulighed for at gennemgå og kontekstualisere indhold tidligt uden endnu at skulle investere i betalte standarddokumenter.
Tilgængelige fra DIN Media
- DIN EN 40000-1-1 2025-11 (Udkast) - Vokabular https://www.dinmedia.de/en/draft-standard/din-en-40000-1-1/396310000
- DIN EN 40000-1-2 2025-11 (Udkast) - Principper for Cyber Modstandsdygtighed https://www.dinmedia.de/en/draft-standard/din-en-40000-1-2/396310071
- DIN EN 40000-1-3 2026-02 (Udkast) - Sårbarhedshåndtering https://www.dinmedia.de/de/norm-entwurf/din-en-40000-1-3/398007938
Standarderne kan også opnås via andre nationale standardorganer (AFNOR, BSI, UNI etc.).
Nuværende standardiseringsstatus (december 2025)
Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) giver et regelmæssigt opdateret overblik over CRA standardiseringsprojekter. Dette dokumenterer status for horisontale og vertikale standardiseringsprojekter for Cyber Resilience Act pr. december 2025.
De horisontale harmoniserede europæiske standarder i EN 40000-1 serien er på forskellige udviklingsstadier
| Norm | Titel | Status (Dec. 2025) |
|---|---|---|
| EN 40000-1-1 | Vokabular | Udkast (prEN) tilgængeligt |
| EN 40000-1-2 | Principper for cyber modstandsdygtighed | Udkast (prEN) tilgængeligt |
| EN 40000-1-3 | Sårbarhedshåndtering | Udkast (prEN) under forberedelse |
| EN 40000-1-4 | Generiske sikkerhedskrav | Udkast (prEN) under forberedelse |
Derudover udvikles understøttende dokumenter
- TR 40000-1-5 Teknisk rapport om trusler og sikkerhedsmål
- Yderligere tekniske specifikationer og rapporter om anvendelse af EN 18037 i CRA konteksten
Samtidigt foregår omfattende arbejde med vertikale harmoniserede standarder for specifikke produktkategorier. DKE oversigten lister mere end 30 vertikale standardiseringsprojekter koordineret af ETSI, DIN og DKE. Disse dækker produktområder såsom
- Netværkskomponenter (routere, switches, firewalls, VPN systemer)
- Softwareprodukter (browsere, password managere, operativsystemer, hypervisors)
- Smart-hjem og forbrugerprodukter (smarte låse, kameraer, wearables, legetøj)
- Industrielle komponenter (mikrocontrollere, ASICs, FPGAer, smart meter gateways)
- Sikkerhedskomponenter (hardware sikkerhedsmoduler, smartcards, sikre elementer)
For OT området (operational technology) udvikles også CRA-specifikke sikkerhedsprofiler baseret på IEC 62443 standardserien (EN 50XXX serien), som forbinder etablerede industrielle cybersikkerhedskrav med CRA væsentlige krav.
Vejledning for producenter
For producenter af maskiner, udstyr og enheder bør EN 40000 serien primært forstås som en ramme for orientering. Den giver struktureret terminologi og et konsistent koncept for termer og principper til at klassificere cybersikkerhedskrav fra Cyber Resilience Act. Faktisk implementering og bevis for overensstemmelse fortsætter dog at blive udført gennem produktspecifikke tekniske foranstaltninger, etablerede udviklingsprocesser og - hvor påkrævet - yderligere, mere specifikke standarder.
Udsigter
Med ikrafttrædelsen af Cyber Resilience Act vil EN 40000 serien vinde betydning hovedsageligt som en referenceramme for fortolkning af juridiske krav. Selvom standarderne - særligt i deres nuværende prEN form - ikke direkte etablerer en formodning om overensstemmelse hjælper de med at afklare hvad der forstås som passende organisatorisk og teknisk praksis i CRA konteksten.
Det forventes at de horisontale standarder i EN 40000 serien vil blive suppleret af produktspecifikke vertikale standarder i fremtiden. Kun på det niveau er det realistisk at forvente standarder der kan udøve stærkere juridisk effekt for specifikke produktkategorier.
For producenter betyder dette at EN 40000 bør ses mindre som en implementeringsstandard og mere som et orienterings- og klassificeringsværktøj der hjælper med systematisk at strukturere CRA krav og forudse regulatoriske udviklinger tidligt.
EN 40000 standarderne er en vigtig reference for fortolkning af Cyber Resilience Act, men de er ikke en genvej til compliance. Hvis du ønsker at forstå hvordan du bruger EN 40000 fornuftigt til at strukturere din CRA implementering kan dette afklares sammen i en uforpligtende diskussion.