CRA-efterlevnad för konsument-IoT: Guide för EN 303 645 och smart hem-säkerhet
Hur CRA tillämpas på konsumentprodukter inom IoT som smarta hemenheter, wearables och uppkopplade leksaker. Täcker samordning med EN 303 645, krav för standardkategorin och praktisk efterlevnad.
In this article
Konsumentprodukter inom IoT (smarta högtalare, uppkopplade kameror, wearables, smarta hemenheter) har de bredaste CRA-skyldigheterna. De flesta faller i standardkategorin, vilket möjliggör självbedömning, men måste fortfarande uppfylla alla väsentliga krav. ETSI EN 303 645 ger en stark grund för efterlevnad.
Den här guiden täcker CRA-efterlevnad för tillverkare av konsument-IoT.
Tips: De flesta IoT-enheter faller i standardkategorin under CRA. Kontrollera Bilaga III innan du antar att tredjepartsbedömning krävs.
Sammanfattning
- De flesta konsumentprodukter inom IoT är standardkategorin (självbedömning tillåten)
- EN 303 645 ger en stark grund och förväntas bli en harmoniserad standard
- "Säker som standard" är avgörande: inga standardlösenord, minimalt exponerade tjänster
- 5-årig supportperiod är ett stort skifte för många konsumentprodukter
- SBOM krävs även för inbyggda enheter
- Konsumentinriktad dokumentation måste vara på lokalt språk
Vilka konsumentprodukter inom IoT täcks?
Tydligt i tillämpningsområdet:
- Smarta högtalare och röstassistenter
- Smarta hemhubbar och styrenheter
- Uppkopplade kameror (säkerhet, babyvakter, dörrklockor)
- Smarta belysningssystem
- Uppkopplade termostater och HVAC-kontroller
- Smarta lås och åtkomstsystem
- Wearables (smartklockor, träningsspårare)
- Uppkopplade leksaker och spel
- Smarta apparater (kylskåp, tvättmaskiner)
- E-läsare och surfplattor
- Uppkopplade hälso-/välfärdsenheter (icke-medicinska)
CRA-klassificering för konsument-IoT
KONSUMENT-IoT CRA-KLASSIFICERING
STANDARDKATEGORI (Självbedömning):
- Smarta högtalare
- Uppkopplade kameror (hemanvändning)
- Smart belysning
- Uppkopplade termostater
- Wearables
- Smarta apparater
- Uppkopplade leksaker
- Allmänna smarta hemenheter
VIKTIG KLASS I (Självbedömning med harmoniserade standarder ELLER tredjepartsbedömning):
- Smart hemhubbar som hanterar andra enheter
- Hemautomatiseringsgatewayar
- Konsument-VPN-lösningar
- Föräldrakontrollprogramvara
- Lösenordshanterare
VIKTIG KLASS II (Tredjepartsbedömning krävs):
- Konsumentbrandväggar
- Konsument-IDS/IPS-enheter
- (Sällsynt för rena konsumentprodukter)
EN 303 645 och CRA-samordning
Vad är EN 303 645?
ETSI EN 303 645 "Cybersäkerhet för konsumenternas Internet of Things: Grundläggande krav" är ledande standard för konsument-IoT-säkerhet, publicerad 2020, med bred adoption och förväntas bli en CRA harmoniserad standard.
EN 303 645 ↔ CRA-mappning
| CRA väsentligt krav | EN 303 645-bestämmelse | Täckning |
|---|---|---|
| Inga kända sårbarheter | 5.2 (sårbarhetavslöjande) | Delvis |
| Säker som standard | 5.1 (inga universella lösenord) | Stark |
| Skydd mot obehörig åtkomst | 5.1, 5.5, 5.6 | Stark |
| Datakonfidentialitet | 5.8 (personuppgiftssäkerhet) | Stark |
| Dataintegritet | 5.4 (säker kommunikation) | Stark |
| Säkerhetsuppdateringar | 5.3 (programvaruuppdateringar) | Stark |
| SBOM | Täcks inte | Lucka |
| ENISA-rapportering | Täcks inte | Lucka |
Krav utan standardlösenord (Kritiskt)
LÖSENORDSMETODER FÖR KONSUMENT-IoT
ALTERNATIV 1: Unikt fabrikslösenord
- Generera unikt lösenord per enhet
- Skriv ut på enhet/förpackning
- Lagra i säkert element om tillgängligt
ALTERNATIV 2: Användardefinerat vid installation
- Tvinga lösenordsskapande under installation
- Genomdriv lösenordskomplexitet
- Inget "hoppa över"-alternativ
ALTERNATIV 3: Lösenordslös autentisering
- Bluetooth/WiFi-parkodskoder
- App-baserad autentisering
- Biometrisk där lämpligt
UNDVIK:
✗ Universella standardlösenord ("admin/admin")
✗ Förutsägbara lösenord (serienummer)
✗ Valfri lösenordsinställning
SBOM för konsument-IoT
Inbyggda enheters utmaningar
KONSUMENT-IoT SBOM-STRATEGI
MINIMIDJUP:
1. Operativsystem/RTOS
2. Ramverk/SDK
3. Nätverks-/protokollbibliotek
4. Kryptobibliotek
5. SDK för mollanslutning
6. Viktiga tredjepartskomponenter
FORMAT:
- CycloneDX eller SPDX
- Inkludera versionsinformation
- Inkludera PURL där tillgängligt
- Dokumentera proprietära komponenter
5-årig support: Den stora utmaningen
CRA-krav: Minst 5 år av säkerhetsuppdateringar från varje enhets marknadsplacering.
5-ÅRIG SUPPORTSTRATEGI
KOSTADSPLANERING:
- Säkerhetsövervakning (löpande)
- Förmåga att svara på sårbarheter
- Uppdateringsutveckling och testning
- Infrastruktur för uppdateringsleverans
- Resurser för kundsupport
TEKNISK PLANERING:
- Stabil uppdateringsmekanism
- OTA-infrastruktur
- Återställningsförmåga
- Testning under enhetens livstid
LIVSCYKELSTEG:
År 1–2: Aktiv utveckling, frekventa uppdateringar
År 3–4: Underhållsläge, säkerhetsuppdateringar enbart
År 5: Förberedelse för supportavslut
År 5+: Support avslutas, kundnotifiering
Praktisk efterlevnadsplan
Fas 1: Bedömning (Nu – Mitten av 2026)
[ ] Lista alla produkter med digitala element
[ ] Klassificera enligt CRA-kategorier
[ ] Identifiera produkter med kort nuvarande support
[ ] Analys av nuläge gentemot EN 303 645
[ ] SBOM-förmågeanalys
[ ] Kostnadsanalys för förlängning av supportperiod
Fas 2: Förberedelse (Mitten 2026 – Sept 2026)
[ ] Implementera EN 303 645-bestämmelser
[ ] Lägg till SBOM-generering i bygget
[ ] Etablera sårbarhethantering
[ ] Förbered ENISA-rapporteringsförmåga
[ ] Uppdatera teknisk filmall
[ ] Uppdatera användardokumentation
Fas 3: Efterlevnad (Sept 2026 – Dec 2027)
SEPTEMBER 2026:
[ ] Sårbarhetrapportering operativ
[ ] ENISA SRP-registrering
FRAM TILL 2027:
[ ] Slutför konformitetsbedömningar
[ ] Uppdatera alla produktlinjer
[ ] Slutför dokumentation
DECEMBER 2027:
[ ] Alla produkter CRA-kompatibla
[ ] CE-märkning applicerad
[ ] Kundkommunikation slutförd
Checklista för konsument-IoT
KONSUMENT-IoT CRA-CHECKLISTA
PRODUKTSÄKERHET:
[ ] Inga standardlösenord (unika eller användardefinerade)
[ ] Krypterad kommunikation (TLS 1.2+)
[ ] Säker uppdateringsmekanism
[ ] Minimal attackyta
[ ] Säkra standardinställningar
EN 303 645-SAMORDNING:
[ ] Granskat alla 66 bestämmelser
[ ] Implementerat obligatoriska bestämmelser
[ ] Dokumenterat efterlevnadsbevis
[ ] Övervägt certifiering
SBOM:
[ ] SBOM-generering i byggprocessen
[ ] Alla viktiga komponenter identifierade
[ ] Leveranskedjekomponenter inkluderade
[ ] Regelbundna SBOM-uppdateringar
SÅRBARHETHANTERING:
[ ] Offentlig säkerhetskontakt
[ ] Policy för sårbarhetavslöjande
[ ] ENISA-rapporteringsförmåga
[ ] Patchutvecklingsprocess
Hur CRA Evidence hjälper
CRA Evidence stöder tillverkare av konsument-IoT:
- EN 303 645-mappning: Spåra efterlevnad mot standardbestämmelser
- SBOM-hantering: Generera och hantera SBOM för inbyggda enheter
- Stöd för flera produkter: Hantera produktfamiljer effektivt
- Sårbarhetsspårning: Konsumentvänlig sårbarhethantering
- Dokumentation: Generering och hantering av teknisk fil
Starta din CRA-efterlevnad på app.craevidence.com.
Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.
Ämnen som tas upp i den här artikeln
Relaterade artiklar
Hur man Genererar ett Firmware SBOM: Öppna...
Steg-för-steg-guide för att generera ett Software Bill of Materials (SBOM)...
10 minCRA får sin instruktionsmanual: Vad kommissionens...
EU-kommissionen publicerade utkast till vägledning om cyberresiliensakter...
6 minÄr smarta kameror viktiga produkter under EU:s cyberresiliensakt?
Smarta säkerhetskameror klassificeras som viktiga produkter (klass I) under...
8 minDoes the CRA apply to your product?
Besvara 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOMs och efterlevnadsdokumentation med CRA Evidence.