EN SV
legislation

Implementering af Cyber Resilience Act med IEC 62443 og ETSI EN 303 645

7 minutters læsning
Implementering af Cyber Resilience Act med IEC 62443 og ETSI EN 303 645

Lær hvordan kombinationen af IEC 62443, ETSI EN 303 645 og EN 18031 hjælper dig med at opfylde kravene i CRA.

Proces- og tekniske krav i CRA

Cyber Resilience Act (CRA) stiller krav til både produktudviklingsprocesser og de tekniske karakteristika ved produkterne selv. Denne to-sporede tilgang kræver en differentieret vurdering af de tilgængelige standarder og normer.

Proceskrav i vid udstrækning dækket af IEC 62443-4-1

De procesrelaterede krav i CRA er i vid udstrækning dækket af IEC 62443-4-1 "Secure product development lifecycle requirements". Denne standard giver et omfattende framework for udvikling af sikre produkter og adresserer aspekter som:

  • Sikkerhedsstyring
  • Kravanalyse
  • Sikkert design og implementering
  • Verifikation og validering
  • Håndtering af sårbarheder og opdateringer
  • Oprettelse af brugerinformation

Ved konsekvent at anvende IEC 62443-4-1 kan producenter effektivt implementere de procesrelaterede mandater i CRA og integrere dem i deres udviklingsprocesser.

Software Bill of Materials (SBOM) i IEC 62443-4-1

Det er vigtigt at bemærke, at IEC 62443-4-1 ikke stiller eksplicitte krav til oprettelse af en Software Bill of Materials (SBOM) som krævet af CRA. Imidlertid resulterer en korrekt og grundig implementering af standarden ofte i oprettelsen af en SBOM eller lignende dokumentation i praksis:

  • Kravsstyring: Standarden kræver detaljeret dokumentation af alle komponenter og deres sikkerhedskrav.
  • Konfigurationsstyring: Præcis sporing af alle softwarekomponenter og deres versioner er påkrævet.
  • Leverandørstyring: Standarden kræver omhyggelig overvågning og dokumentation af tredjepartskomponenter.
  • Patch-styring: Effektiv patch-styring kræver præcis viden om alle softwarekomponenter.

Tilsammen fører disse processer til omfattende dokumentation af softwarekomponenter, der let kan transformeres til en formel SBOM. Virksomheder, der fuldt implementerer IEC 62443-4-1, vil derfor opdage, at de allerede indfanger og administrerer meget af den information, der er nødvendig for en SBOM.

Tekniske krav huller i IEC 62443-3-3 og IEC 62443-4-2

De tekniske egenskaber, som CRA kræver af produkter, er ikke fuldt dækket af IEC 62443-3-3 "System security requirements and security levels" og IEC 62443-4-2 "Technical security requirements for IACS components". Disse standarder, primært designet til industrielle applikationer, viser nogle huller:

  • Manglende privatlivskrav: IEC 62443 dele -3-3 og -4-2 inkluderer ikke specifikke privatlivskrav, som spiller en vigtig rolle i CRA.
  • Begrænset anvendelsesområde: Fokus på industrielle systemer dækker ikke alle produktkategorier adresseret af CRA.
  • Mangel på detaljer inden for visse områder: Nogle specifikke tekniske egenskaber krævet af CRA er ikke, eller ikke tilstrækkeligt, dækket.

Supplerende standarder til at lukke hullerne

For at lukke hullerne i de tekniske krav kan producenter stole på supplerende standarder:

  • ETSI EN 303 645
    Denne standard definerer cybersikkerhedskrav til forbruger-IoT-enheder. Den adresserer mange af de tekniske egenskaber krævet af CRA, særligt inden for områderne privatlivsbeskyttelse og forbrugerproduktsikkerhed.
  • EN 18031
    Denne standard sætter cybersikkerhedskrav til radioudstyr og understøtter implementeringen af den delegerede akt til Radio Equipment Directive. Den tilbyder værdifulde bestemmelser for sikkerheden af produkter med radiointerfaces, som også falder under CRA.

En omfattende mapping af CRA-kravene til forskellige standarder blev offentliggjort for nogen tid siden af ENISA. Yderligere detaljer gives i vores artikel Mapping the CRA to standards.

For at illustrere forskellene og hullerne i de tekniske krav er her nogle konkrete eksempler:

CRA IEC 62443 ETSI EN 303 645
Produkter skal kun behandle data nødvendige for deres funktion. Indeholder ingen specifikke krav om dataminimering. Kræver eksplicit minimering af persondata (Provision 5.8-1).
Beskyttelse mod uautoriseret adgang gennem passende kontroller. Krav fra område FR 1 (Identification and authentication control) beskriver detaljerede krav til forskellige aspekter af adgangskontrol, herunder identifikation og autentificering. Indeholder krav til autentificering, for eksempel kravet om unikke adgangskoder per enhed eller brugerdefinerede adgangskoder, hvis enheden ikke længere er i fabriksstandard. Disse er imidlertid betydeligt mindre detaljerede end dem i IEC 62443-4-2.
Produkter skal leveres med en sikker standardkonfiguration. IEC 62443-4-2 kræver i krav CR 7.7 "Least functionality", at komponenter kan konfigureres, så kun nødvendige funktioner er aktiveret. Kræver, at alle adgangskoder, der ikke er lig med fabriksstandarden, enten er unikke per enhed eller indstilles af brugeren.

EN 18031 bliver relevant, hvor hverken IEC 62443-4-2/-3-3 eller ETSI EN 303 645 giver krav. Et eksempel er minimering af negative påvirkninger på andre enheder eller netværk, som EN 18031 adresserer.

Komplementær anvendelse trods forskellige anvendelsesområder

Selvom de nævnte standarder har forskellige anvendelsesdomæner, giver de sammen et solidt grundlag for implementering af CRA-krav:

  • IEC 62443: Fokus på industrielle applikationer
  • ETSI EN 303 645: Rettet mod forbruger-IoT-enheder
  • EN 18031: Gældende for radioudstyr i både forbruger- og industrisektorer

Trods disse forskellige fokus kan producenter bruge standarderne komplementært til at dække det brede spektrum af CRA-krav. Kombinationen muliggør overvejelse af både industrielle og forbrugerorienterede aspekter og integration af specifikke krav til radioudstyr.

Konklusion holistisk tilgang påkrævet

Implementering af Cyber Resilience Act (CRA) kræver en holistisk tilgang, der adresserer både procesrelaterede og tekniske aspekter. Analysen viser, at ingen enkelt standard fuldt dækker alle CRA-krav, men en kombination af standarder giver et solidt grundlag.

IEC 62443-4-1 viser sig at være et fremragende grundlag for CRA's proceskrav. Virksomheder, der allerede arbejder efter denne standard, har en betydelig fordel i implementeringen af CRA. Selvom standarden ikke eksplicit kræver oprettelse af en Software Bill of Materials (SBOM), fører en grundig implementering af IEC 62443-4-1 ofte til indsamling af de nødvendige oplysninger i praksis.

For de tekniske krav giver en kombination af IEC 62443-4-2/-3-3, ETSI EN 303 645 og EN 18031 den mest omfattende dækning:

  • IEC 62443-4-2/-3-3 tilbyder detaljerede tekniske krav, særligt for industrielle systemer.
  • ETSI EN 303 645 supplerer med specifikke krav til forbruger-IoT-enheder, særligt inden for områder som dataminimering og privatlivsbeskyttelse.
  • EN 18031 udfylder vigtige huller, særligt vedrørende krav til radioudstyr og deres påvirkning på andre enheder og netværk.

Trods de forskellige anvendelsesområder for disse standarder kan producenter bruge dem komplementært til at dække det brede spektrum af CRA-krav. Denne tilgang muliggør overvejelse af både industrielle og forbrugeraspekter og integration af specifikke radioudstyrkrav.

Producenter bør, når de implementerer CRA:

  1. Implementere IEC 62443-4-1 som grundlaget for deres udviklingsprocesser.
  2. Bruge de tekniske krav i IEC 62443-4-2/-3-3 som grundlaget for deres produkter.
  3. Anvende ETSI EN 303 645 og EN 18031 for yderligere krav, der ikke er dækket af IEC 62443.
  4. Identificere huller, der ikke er fuldt dækket af nogen standard, og udvikle deres egne løsninger.

Denne integrerede tilgang gør det muligt for virksomheder at udvikle modstandsdygtige og kompatible produkter, der opfylder både regulatoriske krav og sikkerhedsbehov på tværs af forskellige anvendelsesområder. Det er vigtigt at bemærke, at standardlandskabet vil fortsætte med at udvikle sig, og virksomheder bør være forberedt på at tilpasse deres tilgange, når nye eller opdaterede standarder offentliggøres.

I sidste ende vil succesfuld implementering af CRA afhænge af virksomhedernes evne til at integrere disse forskellige standarder og bedste praksis i et sammenhængende, produktspecifikt sikkerhedskoncept. Dette kræver ikke kun teknisk ekspertise, men også en dyb forståelse af regulatoriske krav og de specifikke risici i de relevante anvendelsesområder.

Hvis du har brug for støtte til at anvende disse standarder eller implementere CRA-krav, kontakt os uforpligtende. Vores eksperter er klar til at hjælpe med deres omfattende erfaring i implementering af standarder og regulatoriske krav og hjælpe dig med at udvikle en skræddersyet strategi for din virksomhed.