EN pr40000-2 具体产品类别要求标准解读
标准信息
| 属性 | 详情 |
|---|---|
| 标准编号 | prEN 40000-2 |
| 发布机构 | CEN/CENELEC |
| 状态 | 草案阶段 |
| 关联法规 | 欧盟网络弹性法案 (CRA) |
一、标准背景
EN pr40000-2 是EN 40000系列标准的具体产品类别要求部分,针对不同类型数字元素产品定义差异化的网络安全要求。
CRA风险分级框架
根据欧盟网络弹性法案(CRA),数字元素产品按风险级别分为三类:
| 风险级别 | 类别名称 | 合规评估方式 | 典型产品 |
|---|---|---|---|
| 默认 | 默认类别 | 自我声明 | 消费级IoT设备 |
| 重要 | 重要类别 | 第三方评估 | 网络设备、工业控制组件 |
| 关键 | 关键类别 | 欧盟认证 | 关键基础设施设备 |
产品类别详细定义
默认类别产品:适用于风险相对较低的数字产品
- 智能家居设备
- 消费级可穿戴设备
- 消费级网络摄像头
- 通用软件产品
重要类别产品:具有较高安全影响的产品
- 企业级网络设备
- 工业控制系统组件
- 医疗设备数字组件
- 车辆电子系统
关键类别产品:对国家安全或公共利益有重大影响的产品
- 关键基础设施核心控制设备
- 安全产品
- 国防相关数字产品
二、各类别技术要求
默认类别 - 基本要求
| 要求领域 | 具体要求 |
|---|---|
| 安全设计 | 威胁建模、安全编码规范 |
| 默认配置 | 出厂默认配置应为安全状态 |
| 身份认证 | 支持用户认证机制 |
| 数据保护 | 敏感数据加密存储 |
| 漏洞管理 | 提供漏洞报告渠道 |
重要类别 - 增强要求
| 要求领域 | 增强要求 |
|---|---|
| 安全开发生命周期 | 完整SDLC、定期安全审计 |
| 访问控制 | 细粒度RBAC、多因素认证 |
| 日志审计 | 记录所有安全事件、防篡改 |
| 漏洞响应 | 72小时内响应 |
关键类别 - 最高要求
| 要求领域 | 最高要求 |
|---|---|
| 安全保障 | 欧盟网络安全认证(EAL4+) |
| 事件响应 | 24/7 SOC,24小时内响应 |
| 物理安全 | 防篡改设计、安全启动链 |
三、漏洞响应时限
| 漏洞级别 | 默认类别 | 重要类别 | 关键类别 |
|---|---|---|---|
| 严重 | 72小时 | 48小时 | 24小时 |
| 高危 | 7天 | 72小时 | 48小时 |
| 中危 | 30天 | 14天 | 7天 |
四、认证准备清单
| 准备项目 | 默认 | 重要 | 关键 |
|---|---|---|---|
| 产品描述文档 | ✅ | ✅ | ✅ |
| 威胁建模报告 | ✅ | ✅ | ✅ |
| 渗透测试报告 | ○ | ✅ | ✅ |
| SBOM | ○ | ✅ | ✅ |
| 第三方安全审计 | - | ○ | ✅ |
✅必需 | ○建议 | -不适用
参考资料:CEN/CENELEC、EU CRA、ETSI EN 303 645、IEC 62443
EN-pr40000, 产品分类, 欧盟标准 — 2026年3月13日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论