EN 40000 系列标准概述 - CRA 协调标准体系
概述
EN 40000 系列是欧洲标准化组织(CEN、CENELEC、ETSI)为支持 Cyber Resilience Act(CRA)而开发的网络安全协调标准体系。该系列标准为数字产品提供详细的网络安全要求和实施指南。
基本信息
| 项目 | 内容 |
|---|---|
| 标准编号 | EN 40000-1-X 系列 |
| 开发机构 | CEN/CENELEC/ETSI (JTC 13 WG 9) |
| 状态 | 草案开发中 |
| 关联法规 | Regulation (EU) 2024/2847 (CRA) |
| 标准化请求 | M/606(含 41 项标准) |
标准结构
| 编号 | 标题 | 内容说明 | 状态 |
|---|---|---|---|
| prEN 40000-1-1 | Vocabulary | 词汇表/术语定义 | 公询期 2026.03 |
| prEN 40000-1-2 | Principles for Cyber Resilience | 网络弹性原则 | 公询期 2026.03 |
| prEN 40000-1-3 | Vulnerability Handling | 漏洞处理要求 | 开发中 |
| prEN 40000-1-4 | Generic Security Requirements | 通用安全要求 | 开发中 |
⚠️ 注意:标准编号为 EN 40000-1-X 子部分形式,而非 EN 40000-X 线性编号。
各部分详细内容
prEN 40000-1-1: Vocabulary(词汇表)
- 内容:为 CRA 相关产品提供共享词汇和术语定义
- 术语数量:16 个核心术语
- 工作组:CEN-CLC/JTC13 WG 9, PT1
- 状态:草案公开征求意见
核心术语:
- 可接受风险 (acceptable risk)
- 资产 (asset)
- 真实性、可用性、机密性、完整性
- 修复 (remediation)
- 报告者 (reporter)
- 安全目标 (security objective)
prEN 40000-1-2: Principles for Cyber Resilience(网络弹性原则)
- 项目编号:Project 1
- 性质:流程导向的”兜底”标准
- 对应 CRA:Annex I 整体框架
- 预期交付:2026 年 8 月
五大网络安全原则:
| 原则 | 中文 | 说明 |
|---|---|---|
| Risk-based Approach | 基于风险的方法 | 措施与风险成比例 |
| Security by Design | 设计安全 | 从概念阶段实施安全 |
| Security by Default | 默认安全 | 默认配置即安全 |
| Transparency | 透明性 | 向利益相关者提供信息 |
风险管理要素:
- 确定产品背景(VVVV、功能、环境、架构、用户)
- 确定风险接受标准
- 进行风险评估
- 适当的风险处理
- 沟通剩余风险
- 审查风险管理
prEN 40000-1-3: Vulnerability Handling(漏洞处理)
- 项目编号:Project 3
- 内容:漏洞处理要求
- 对应 CRA:Annex I, Part 2
- 状态:开发中
预期内容(基于 IBF Solutions 文章):
- 协调披露政策(安全港条款、接收管理、响应流程)
- SBOM + HBOM 清单管理
- 持续漏洞审查
- 补丁管理流程
- 危机响应和报告工作流
时间要求:确认收到报告 48-72 小时
prEN 40000-1-4: Generic Security Requirements(通用安全要求)
- 项目编号:Project 2
- 性质:产品导向标准
- 预期发布:2027 年 10 月 30 日
控制框架来源:
⚠️ 重要:prEN 40000-1-4 的安全控制框架基于 EN 18031:2024 系列(无线电设备网络安全标准),并整合了 IEC 62443-4-2 和 ETSI EN 303 645 的元素。
ESR 映射示例(控制系列继承自 EN 18031):
| ESR | CRA 要求 | 控制要求系列(来自 EN 18031) |
|---|---|---|
| (a) | 漏洞评估 | GEC-1 |
| (b) | 安全默认配置 | GEC-2, GEC-4, GEC-9 |
| (c) | 安全更新 | SUM 系列 |
| (d) | 授权访问 | AUM, ACM 系列 |
| (e)(f) | 机密性和完整性 | SSM, SCM, CCK |
| (l) | 监控日志 | LGM, MON 系列 |
| (m) | 数据删除 | DLM 系列 |
与 CRA 的关系
1 | CRA (Regulation EU 2024/2847) |
与 EN 18031 的关系
EN 18031:2024 系列是 ETSI 制定的无线电设备网络安全标准,prEN 40000-1-4 继承并扩展了其安全控制框架。
1 | EN 18031:2024 系列(无线电设备网络安全) |
时间线
| 时间节点 | 里程碑 |
|---|---|
| 2025.10-2026.03 | prEN 40000-1-1, 1-2 公询期 |
| 2026.08 | EN 40000-1-2, 1-3 预期交付 |
| 2026.09 | CRA 报告义务生效 |
| 2026.10 | 产品特定垂直标准交付 |
| 2027.10.30 | prEN 40000-1-4 预期发布 |
| 2027.12.11 | CRA 全面适用 |
适用范围
- 数字产品制造商
- 软件开发者
- 硬件生产商
- 进口商和分销商
参考链接
| 来源类型 | 链接 |
|---|---|
| DIN 草案门户 | prEN 40000-1-1 |
| DIN 草案门户 | prEN 40000-1-2 |
| Applus Laboratories | CRA Requirements Standards Mapping |
| complycra.eu | CRA Standards |
| IBF Solutions | prEN 40000-1-3 Handling Vulnerabilities |
CRA, EN-40000, 协调标准, 欧盟标准, 网络安全 — 2026年3月25日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论