EN SV
standards

Horisontale CRA-standarder EN 40000-1-1 & EN 40000-1-2

3 minutters læsning
Horisontale CRA-standarder EN 40000-1-1 & EN 40000-1-2

De første horisontale CRA-standarder er tilgængelige. prEN 40000-1-1 og prEN 40000-1-2 definerer det tværgående rammeværk for risikostyring og cybersikkerhedsaktiviteter.

Horisontalt før vertikalt - fundamentet for alle produktkategorier

Mens ETSI allerede har offentliggjort standarder for specifikke produktkategorier såsom password managers, routere eller operativsystemer, manglede der hidtil en tværgående baseline. Det hul lukkes af de nyligt tilgængelige horisontale standarder fra CEN/CENELEC.

Forskellen

  • Horisontale standarder (EN 40000) gælder for alle produkter med digitale elementer - uanset kategori
  • Vertikale standarder (ETSI EN 304 6xx) specificerer de horisontale krav for specifikke produktkategorier

Kun kombinationen af begge typer standarder skaber formodningen om overensstemmelse for CRA.

prEN 40000-1-1 ordforråd

Etablerer den fælles terminologi for hele standardfamilien. Den definerer nøgletermer som Acceptable Risk, Residual Risk, Product Control og Security Objective - essentielt for konsistent overensstemmelsesvurdering på tværs af alle produktkategorier.

prEN 40000-1-2 principper for cyber resilience

Den tekniske kerne. Standarden definerer fire grundlæggende principper:

  • Risikobaseret tilgang
  • Security by design
  • Secure by default
  • Gennemsigtighed

Disse konkretiseres i:

  • 6 risikostyringselementer (produktkontekst, risikoaccept-kriterier, risikovurdering, risikobehandling, risikokommunikation, risikoovervågning)
  • 11 cybersikkerhedsaktiviteter gennem hele produktlivscyklussen (planlægning, krav, arkitektur, implementering, V&V, produktion, problem-håndtering, overvågning, nedlukning, tredjepartsstyring)

Hver aktivitet er struktureret i Input, Krav, Output og Vurderingskriterier - procesagnostisk og dermed anvendelig på tværs af forskellige udviklingsmetoder.

Interaktion med vertikale standarder

ETSI-standarderne for specifikke produktkategorier bygger på dette rammeværk:

  • Brugstilfælde konkretiserer produktkontekst-definitionen
  • Trusselmodeller følger risikovurderingsrammen
  • Produktspecifikke afbødninger implementerer de nødvendige kontroller
  • Vurderingskriterier supplerer de horisontale bestemmelser

Bilag A giver vertikale standarder eksplicit vejledning til at opnå sammenhæng.

Status og næste skridt

Dokumenterne er i øjeblikket i CEN-forespørgselsproceduren. Interessenter kan indgive kommentarer. Efter finalisering vil standarderne blive refereret i EU's Tidende.

Også under udvikling parallelt:

  • Generiske sikkerhedskrav (horisontalt kontrolkatalog)
  • Sårbarheds-håndteringskrav (horisontalt)
  • Yderligere vertikale standarder af ETSI og andre standardiseringsorganisationer

Anbefalinger

For producenter er dette det rette tidspunkt:

  1. Studér de horisontale standarder og indgiv kommentarer
  2. Implementér et risikostyringsrammeværk i henhold til EN 40000-1-2
  3. Forbered dig på de endelige vertikale standarder for din produktkategori

De der allerede implementerer de horisontale krav vil være godt positioneret når de endelige produktspecifikke standarder offentliggøres.

Tilgængelighed

Udkastene kan fås via DIN Media og andre nationale standardiseringsorganer:

Yderligere information om de vertikale ETSI-standarder kan findes i vores artikel om ETSI-udkastsstandarderne.

Support til implementering

EN 40000-familien danner det tekniske rygrad for implementering af Cyber Resilience Act. Secuvi støtter virksomheder i systematisk implementering af de horisontale krav - fra etablering af risikostyringsrammeværket til produktovervågning og design af cybersikkerheds-leverandøraftaler.

Mere på: www.secuvi.com