EN pr40000 系列标准概述 - CRA 支撑标准体系
概述
EN pr40000 系列是为支撑欧盟 Cyber Resilience Act (CRA) 而开发的横向网络安全标准体系。该系列标准由 CEN/CLC/JTC 13/WG 9 制定,旨在为数字产品的网络安全提供统一的技术框架。
标准化背景
M/606 标准化请求
欧洲委员会于 2024 年发布 M/606 标准化请求,正式授权 CEN、CENELEC 和 ETSI 制定支撑 CRA 的协调标准。标准化策略采用双重路径:
| 路径 | 说明 | 示例 |
|---|---|---|
| 横向标准 | 提供统一的通用框架、方法论和术语 | EN 40000 系列 |
| 垂直标准 | 针对特定产品类别的风险要求 | 浏览器、防火墙、路由器等 |
与 CRA 的关系
CRA (Regulation (EU) 2024/2847) 要求所有数字产品满足基本网络安全要求。EN 40000 系列标准为制造商提供了证明合规的技术路径。
EN 40000 系列结构
标准组成
| 编号 | 标题 | 类型 | 状态 |
|---|---|---|---|
| EN 40000-1-1 | Vocabulary | 术语标准 | 开发中 |
| EN 40000-1-2 | Principles for Cyber Resilience | 过程标准 | 预期 2026.08 交付 |
| EN 40000-1-3 | Vulnerability Handling Requirements | 过程标准 | 预期 2026.08 交付 |
| EN 40000-1-4 | Generic Security Requirements | 产品标准 | 目标 2027.10.30 发布 |
各部分定位
1 | EN 40000 系列架构 |
prEN 40000-1-2:网络安全弹性原则
定位
- 类型:过程导向标准
- 作用:”兜底”标准,确保产品使用基于风险的方法开发和维护
- 适用:所有 CRA 覆盖的产品类别
核心内容
| 要素 | 说明 |
|---|---|
| 风险管理框架 | 建立基于风险的网络安全流程 |
| 生命周期管理 | 覆盖设计、开发、部署、运营、退役全过程 |
| 安全文化 | 组织层面的安全意识培养 |
prEN 40000-1-3:漏洞处理要求
定位
- 类型:过程标准
- 对应:CRA Annex I, Part 2
- 公询期:已于 2026.03.05 截止
核心要求
| 要求 | 说明 |
|---|---|
| 漏洞报告流程 | 建立接收和响应漏洞报告的机制 |
| 安全更新发布 | 及时发布漏洞修复更新 |
| 用户通知 | 向用户通报漏洞及修复措施 |
| 漏洞跟踪 | 持续监控已知漏洞状态 |
生命周期覆盖
1 | 产品生命周期 |
prEN 40000-1-4:通用安全要求
定位
- 类型:产品导向标准
- 对应:CRA Annex I, Part 1 (a-m)
- 作用:将 ESR 映射到具体安全控制目录
结构设计
1 | prEN 40000-1-4 结构 |
与现有标准的对齐
| 来源标准 | 采用内容 |
|---|---|
| EN 18031:2024 | 无线电设备安全要求 |
| IEC 62443-4-2 | 工业自动化安全控制 |
| ETSI EN 303 645 | 物联网安全基线 |
基本安全要求 (ESR) 映射
ESR 概览
CRA Annex I, Part 1 定义了 13 项基本安全要求:
| ESR | 要求 | prEN 40000-1-4 覆盖 |
|---|---|---|
| (a) | 漏洞评估 | GEC-1 (Up-to-date software) |
| (b) | 安全默认配置 | GEC-2, GEC-4, GEC-9 |
| (c) | 安全更新 | SUM 系列 |
| (d) | 授权访问 | AUM, ACM 系列 |
| (e) | 机密性保护 | SSM, SCM, CCK |
| (f) | 完整性保护 | SSM, SCM |
| (g) | 最小权限 | ACM 系列 |
| (h) | 攻击防护 | - |
| (i) | 攻击检测 | - |
| (j) | 通信安全 | SCM 系列 |
| (k) | 安全管理 | - |
| (l) | 监控与日志 | LGM, MON 系列 |
| (m) | 数据删除 | DLM 系列 |
关键 ESR 解读
ESR (a):漏洞评估
产品投放市场时不得存在已知可利用漏洞
- 定义:”可利用漏洞” 是指攻击者在实际操作条件下可以有效利用的漏洞
- 控制:GEC-1 要求使用最新的软件/硬件版本
ESR (b):安全默认配置
产品必须以安全状态交付,无需用户进行大量配置
- 要求:
- 禁用不安全协议
- 避免默认密码
- 提供恢复出厂设置机制
ESR (c):安全更新
制造商必须确保可以通过安全更新修复漏洞,消费类产品默认自动更新
- 安全目标:
- SO.Updateability(可更新性)
- SO.UserUpdateNotification(用户通知)
- SO.PostponeUpdates(延迟更新选项)
ESR (d):授权访问
通过适当的认证和访问管理系统保护产品
- 新增控制:GEC-13 要求报告可能的未授权访问
- 映射:AUM(认证机制)和 ACM(访问控制)系列
加密机制要求
Annex K 开发中
prEN 40000-1-4 正在开发跨垂直领域的 Annex K,定义加密机制”允许列表”:
- 依据:ENISA 指南
- 范围:数据静态加密、传输加密
- 状态:草案阶段
相关控制
| 控制系列 | 覆盖范围 |
|---|---|
| SSM | 安全存储 |
| SCM | 安全通信 |
| CCK | 密钥管理 |
时间线与里程碑
| 时间节点 | 里程碑 |
|---|---|
| 2024.10 | CRA 发布 |
| 2024.12 | CRA 生效 |
| 2026.03 | prEN 40000-1-3 公询期截止 |
| 2026.03 | prEN 40000-1-4 草案开发中 |
| 2026.08 | EN 40000-1-2, 1-3 预期交付 |
| 2026.10 | 产品特定垂直标准交付 |
| 2027.10.30 | prEN 40000-1-4 目标发布 |
| 2027.12.11 | CRA 全面适用 |
制造商应对建议
近期行动(2026年)
| 行动 | 说明 |
|---|---|
| 了解 CRA 要求 | 熟悉 Annex I 基本安全要求 |
| 参与标准制定 | 通过国家标准机构参与工作组 |
| 评估产品差距 | 对照 ESR 评估现有产品 |
| 建立漏洞处理流程 | 准备符合 EN 40000-1-3 的流程 |
中期准备(2027年)
| 行动 | 说明 |
|---|---|
| 实施安全控制 | 根据 prEN 40000-1-4 实施技术控制 |
| 准备技术文档 | 编制合规证据文档 |
| 建立符合性评估流程 | 选择适当的评估路径 |
相关资源
| 资源 | 链接 |
|---|---|
| STAN4CRA | https://www.stan4cra.eu/ |
| complycra.eu | https://complycra.eu/cra-standards/ |
| CEN-CENELEC | https://www.cencenelec.eu/ |
| ENISA | https://www.enisa.europa.eu/ |
总结
EN 40000 系列标准是 CRA 合规的技术基础。制造商应密切关注标准开发进展,提前准备合规措施,确保产品在 CRA 全面适用时符合要求。
来源:
- complycra.eu - CRA Standards Technical Deep Dive
- STAN4CRA - Standardization in support of the EU Cyber Resilience Act
- CEN/CLC/JTC 13/WG 9 工作组
CRA, Cyber Resilience Act, EN pr40000, 欧盟标准, 网络弹性 — 2026年3月24日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论