CRA kontra ISO 27001: Hur ditt ISMS stöder produktsäkerhetsefterlevnad

Många tillverkare har redan ISO 27001-certifiering för sitt informationssäkerhetsledningssystem. Hjälper det med CRA-efterlevnad? Kortsvaret: ja, men det räcker inte. ISO 27001 fokuserar på organisatorisk säkerhet, medan CRA fokuserar på produktsäkerhet. De kompletterar varandra men kan inte ersätta varandra.

Den här guiden förklarar förhållandet mellan ISO 27001 och CRA.

Sammanfattning

• ISO 27001 fokuserar på organisatorisk informationssäkerhet (dina system, processer)
• CRA fokuserar på produktsäkerhet (säkerhet i produkter du tillverkar och säljer)
• ISO 27001-certifiering ger värdefullt stöd men är inte tillräckligt för CRA ensamt
• Starka överlapp: riskbedömning, incidenthantering, leveranskedjehantering
• Viktiga luckor: produktspecifik SBOM, sårbarhetavslöjande, CE-märkning

Vad ISO 27001 täcker (och vad det inte täcker för CRA)

ISO 27001:s tillämpningsområde

ISO 27001 hanterar säkerheten i din organisation:

ISO 27001 TÄCKER:
✓ Informationssäkerhet för dina egna system
✓ Skydd av data du behandlar
✓ Riskhanteringsprocesser för din organisation
✓ Incidenthantering för din verksamhet
✓ Leverantörshantering för dina inköp
✓ HR-säkerhet (anställdas tillgång)
✓ Fysisk säkerhet för dina anläggningar
✓ Säkerhetskopiering och affärskontinuitet

ISO 27001 TÄCKER INTE DIREKT:
✗ Säkerheten i produkter du säljer till kunder
✗ Sårbarhetsspårning och -avslöjande för dina produkter
✗ SBOM för dina produkters komponenter
✗ CE-märkning eller EU-konformitetsbedömning
✗ ENISA-rapporteringsskyldigheter
✗ Kundfacing produktsäkerhetsgarantier

CRA:s tillämpningsområde

CRA hanterar säkerheten i dina produkter:

CRA TÄCKER:
✓ Säkerhet inbyggd i produkter du tillverkar
✓ Produkters sårbarhetavslöjande och -hantering
✓ SBOM för produktens mjukvarukomponenter
✓ Säkerhetsuppdateringar till kunder
✓ CE-märkning och EU-konformitetsbedömning
✓ ENISA-rapportering för exploaterade sårbarheter
✓ Säkerhets supportperiod (minst 5 år)
✓ Dokumentation och teknisk fil

Överlapp: Var ISO 27001 hjälper CRA

1. Riskbedömningsmetodik

ISO 27001 kräver en riskbedömningsprocess. Den kan anpassas för CRA:s produktriskbedömning:

ISO 27001 RISKBEDÖMNING → CRA

ISO 27001-PROCESS:
- Identifiera informationstillgångar
- Bedöm hot och sårbarheter
- Beräkna risk
- Välj behandlingsåtgärder

ANPASSNING FÖR CRA:
- Identifiera produktkomponenter
- Bedöm hot mot produkten (STRIDE, TARA)
- Beräkna produktrisker
- Implementera säkerhetskontroller i produkten

2. Incidenthanteringsprocess

ISO 27001-incidenthanteringsprocessen kan utökas för CRA-sårbarhetrapportering:

ISO 27001 → CRA INCIDENTHANTERING

ISO 27001 TÄCKER:
- Incident detection
- Response procedures
- Recovery processes
- Post-incident review

UTÖKAT FÖR CRA:
+ ENISA-rapporteringsskyldigheter
+ CVD-process för externa rapporter
+ Sårbarhetpatch-pipeline
+ Kundnotifiering

3. Leverantörshantering

ISO 27001 LEVERANTÖRSHANTERING → CRA

ISO 27001 (BILAGA A.15):
- Leverantörers informationssäkerhetspolicy
- Säkerhet i leverantörsavtal
- Hantering av ICT-leveranskedja

CRA TILLÄGG:
- SBOM för leverantörers programvara
- CRA-konformitetskrav i leverantörsavtal
- Sårbarhetsspårning per leverantörskomponent

4. Säker systemutveckling

ISO 27001-kontroller för säker utveckling mappas mot CRA:s designkrav:

ISO 27001 BILAGA A.14 → CRA DESIGNKRAV

ISO 27001:
A.14.1.1 Säkerhetskrav i informationssystem
A.14.2.1 Policy för säker utveckling
A.14.2.5 Principer för säkra systemteknik

CRA MAPPNING:
→ Säkerhet genom design (Bilaga I, krav 1)
→ Minimal attackyta
→ Säkra standardkonfigurationer

Luckor: Vad ISO 27001 inte täcker för CRA

Lucka 1: SBOM

ISO 27001 har ingen SBOM-krav. Du behöver:

SBOM-KOMPLEMENT TILL ISO 27001

ISO 27001 GER:
- Allmänt tillgångsregister
- Programvarukontrollprocesser

ISO 27001 SAKNAR:
- Maskinläsbar BOM per produktrelease
- Sårbarhetsskanning mot SBOM
- CycloneDX/SPDX-format

KOMPLETTERA MED:
- Dedicated SBOM-genereringsverktyg
- Integrering med CI/CD-pipeline
- Regelbunden sårbarhetsskanning

Lucka 2: CRA-specifik konformitetsbedömning

KONFORMITETSBEDÖMNING

ISO 27001 GER:
- ISMS-certifiering (din organisation)
- Tredjepartsverifiering av dina processer

ISO 27001 SAKNAR:
- EU-konformitetsbedömning för produkter
- CE-märkningsprocess
- Anmält organs granskning (om krävs)
- EU-försäkran om överensstämmelse

KOMPLETTERA MED:
- CRA-specifik konformitetsbedömning (Modul A, B+C eller H)
- CE-märkningsprocess
- DoC-utfärdande

Lucka 3: ENISA-rapportering

ENISA-RAPPORTERING

ISO 27001 GER:
- Incidenthanteringsprocess

ISO 27001 SAKNAR:
- ENISA SRP-integration
- 24/72h-rapporteringsskyldigheter
- Sårbarhet-specifik rapporteringsprocess

KOMPLETTERA MED:
- ENISA SRP-registrering
- Utlösar-beslutsmatris för rapportering
- Rapport-mallar

Integrated approach: ISO 27001 + CRA

Rekommenderad strategi

INTEGRATED ISO 27001 + CRA APPROACH

STEG 1: INVENTERA DIN ISO 27001-BASLINJE
- Vilka kontroller har du redan?
- Vilka processer kan anpassas?
- Vilken dokumentation existerar?

STEG 2: MAPPA ISO 27001 MOT CRA-KRAV
- Identifiera direkta mappningar (ingen extra åtgärd)
- Identifiera överlappande krav (liten anpassning)
- Identifiera luckor (ny implementering krävs)

STEG 3: IMPLEMENTERA KOMPLETTERANDE KONTROLLER
- Lägg till SBOM-generation
- Etablera produktsårbarhethantering
- Implementera CVD-policy
- Förbered ENISA SRP-rapportering
- Genomför produktspecifik konformitetsbedömning

STEG 4: INTEGRERA I ISMS
- Lägg till CRA-krav i ISMS-scope
- Uppdatera riskbedömning att inkludera produktrisker
- Utbilda personal på CRA-specifika krav
- Uppdatera interna revisionsplaner

Värdet av ISO 27001 för CRA

Konkreta fördelar

• Dokumenterade processer: Anmälda organ och marknadsövervakningsmyndigheter ser välkonstruerade processer som positivt
• Riskbedömningserfarenhet: ISO 27001-erfarenhet accelererar CRA:s produktriskbedömning
• Leverantörshantering: Befintliga leverantörsprocesser kan utökas för SBOM-krav
• Incidenthantering: Kan anpassas för ENISA-rapportering
• Modul H-stöd: Om du väljer Modul H kan ditt ISO 27001-ISMS vara utgångspunkt för QMS

Checklista för ISO 27001-certifierade organisationer

ISO 27001 → CRA GAP-CHECKLISTA

ÖVERLAPP (Sannolikt täckt):
[ ] Riskbedömningsprocess anpassad för produktrisker
[ ] Incidenthantering utökad för ENISA-rapportering
[ ] Leverantörshantering inkluderar SBOM-krav
[ ] Säker utvecklingslivscykel dokumenterad

LUCKOR (Behöver implementeras):
[ ] SBOM-generering för varje produkt
[ ] CVD-policy publicerad
[ ] ENISA SRP-registrering
[ ] CRA-konformitetsbedömning (Modul A/B+C/H)
[ ] EU-försäkran om överensstämmelse
[ ] CE-märkningsprocess
[ ] Produktsäkerhets supportperiod definierad

Hur CRA Evidence hjälper

CRA Evidence kompletterar din ISO 27001:

• SBOM-lager: Lägger till produktkomponentsynlighet
• CRA-specifika checklistor: Mappar ISO 27001-kontroller mot CRA-krav
• Gap-identifiering: Identifierar vad som saknas från ditt ISO 27001
• DoC och CE-stöd: Hjälper med CRA-specifika konformitetskrav
• ENISA-integration: Lägger till rapporteringsskyldigheter till din incidentprocess

Komplettera din ISO 27001 med CRA-efterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.