CRA för konsument-IoT: EN 303 645 och smart hem-säkerhet
Hur CRA tillämpas på konsument-IoT: standardkategori; klass I (bilaga III) för smart hem-säkerhet, interaktiva/spårande leksaker och hälso-/barnwearables.
I denna artikel
Konsumentprodukter inom IoT (smarta högtalare, uppkopplade kameror, wearables, smarta hemenheter) har de bredaste CRA-skyldigheterna. De flesta faller i standardkategorin, vilket möjliggör självbedömning, men måste fortfarande uppfylla alla väsentliga krav. ETSI EN 303 645 ger en stark grund för efterlevnad.
Den här guiden täcker CRA-efterlevnad för tillverkare av konsument-IoT.
Tips: De flesta IoT-enheter faller i standardkategorin under CRA. Kontrollera Bilaga III innan du antar att tredjepartsbedömning krävs.
Sammanfattning
- De flesta konsumentprodukter inom IoT är standardkategorin (självbedömning tillåten)
- EN 303 645 ger en stark grund, men är per 22 maj 2026 inte en CRA-harmoniserad standard
- "Säker som standard" är avgörande: inga standardlösenord, minimalt exponerade tjänster
- 5-årig supportperiod är ett stort skifte för många konsumentprodukter
- SBOM krävs även för inbyggda enheter
- Konsumentinriktad dokumentation måste vara på lokalt språk
Vilka konsumentprodukter inom IoT täcks?
Tydligt i tillämpningsområdet:
- Smarta högtalare och röstassistenter
- Smarta hemhubbar och styrenheter
- Uppkopplade kameror (säkerhet, babyvakter, dörrklockor)
- Smarta belysningssystem
- Uppkopplade termostater och HVAC-kontroller
- Smarta lås och åtkomstsystem
- Wearables (smartklockor, träningsspårare)
- Uppkopplade leksaker och spel
- Smarta apparater (kylskåp, tvättmaskiner)
- E-läsare och surfplattor
- Uppkopplade hälso-/välfärdsenheter (icke-medicinska)
CRA-klassificering för konsument-IoT
KONSUMENT-IoT CRA-KLASSIFICERING
STANDARDKATEGORI (Självbedömning):
- Smarta högtalare UTAN allmänt virtuellt assistantsystem
- Uppkopplade kameror utan säkerhetsfunktion (t.ex. vanlig webbkamera eller möteskamera)
- Smart belysning
- Uppkopplade termostater
- Wearables som inte är hälsoövervakande och inte riktar sig till barn
- Smarta apparater
- Uppkopplade leksaker utan sociala interaktionsfunktioner och utan platsspårning
- Allmänna smarta hemenheter
VIKTIG KLASS I (Självbedömning med harmoniserade standarder ELLER tredjepartsbedömning):
- Smarta högtalare MED allmänt virtuellt assistantsystem
- Säkerhetskameror, babyvakter, larmsystem och smarta dörrlås
- Internetuppkopplade leksaker som omfattas av direktiv 2009/48/EG med sociala interaktionsfunktioner (tal eller filmning) eller platsspårning
- Hälsoövervakande wearables som inte omfattas av MDR/IVDR, och wearables avsedda för eller av barn
- Smart hemhubbar som hanterar andra enheter
- Hemautomatiseringsgatewayar
- Konsument-VPN-lösningar
- Föräldrakontrollprogramvara
- Lösenordshanterare
VIKTIG KLASS II (Tredjepartsbedömning krävs):
- Konsumentbrandväggar
- Konsument-IDS/IPS-enheter
- (Sällsynt för rena konsumentprodukter)
EN 303 645 och CRA-samordning
Vad är EN 303 645?
ETSI EN 303 645 "Cybersäkerhet för konsumenternas Internet of Things: Grundläggande krav" är ledande standard för konsument-IoT-säkerhet, publicerad 2020, med bred adoption. Per 22 maj 2026 är den inte listad som en CRA-harmoniserad standard.
EN 303 645 ↔ CRA-mappning
| CRA väsentligt krav | EN 303 645-bestämmelse | Täckning |
|---|---|---|
| Inga kända sårbarheter | 5.2 (sårbarhetavslöjande) | Delvis |
| Säker som standard | 5.1 (inga universella lösenord) | Stark |
| Skydd mot obehörig åtkomst | 5.1, 5.5, 5.6 | Stark |
| Datakonfidentialitet | 5.8 (personuppgiftssäkerhet) | Stark |
| Dataintegritet | 5.4 (säker kommunikation) | Stark |
| Säkerhetsuppdateringar | 5.3 (programvaruuppdateringar) | Stark |
| SBOM | Täcks inte | Lucka |
| ENISA-rapportering | Täcks inte | Lucka |
Krav utan standardlösenord (Kritiskt)
LÖSENORDSMETODER FÖR KONSUMENT-IoT
ALTERNATIV 1: Unikt fabrikslösenord
- Generera unikt lösenord per enhet
- Skriv ut på enhet/förpackning
- Lagra i säkert element om tillgängligt
ALTERNATIV 2: Användardefinerat vid installation
- Tvinga lösenordsskapande under installation
- Genomdriv lösenordskomplexitet
- Inget "hoppa över"-alternativ
ALTERNATIV 3: Lösenordslös autentisering
- Bluetooth/WiFi-parkodskoder
- App-baserad autentisering
- Biometrisk där lämpligt
UNDVIK:
✗ Universella standardlösenord ("admin/admin")
✗ Förutsägbara lösenord (serienummer)
✗ Valfri lösenordsinställning
SBOM för konsument-IoT
Inbyggda enheters utmaningar
KONSUMENT-IoT SBOM-STRATEGI
MINIMIDJUP:
1. Operativsystem/RTOS
2. Ramverk/SDK
3. Nätverks-/protokollbibliotek
4. Kryptobibliotek
5. SDK för mollanslutning
6. Viktiga tredjepartskomponenter
FORMAT:
- CycloneDX eller SPDX
- Inkludera versionsinformation
- Inkludera PURL där tillgängligt
- Dokumentera proprietära komponenter
5-årig support: Den stora utmaningen
CRA-krav: Minst 5 år av säkerhetsuppdateringar från varje enhets marknadsplacering.
5-ÅRIG SUPPORTSTRATEGI
KOSTADSPLANERING:
- Säkerhetsövervakning (löpande)
- Förmåga att svara på sårbarheter
- Uppdateringsutveckling och testning
- Infrastruktur för uppdateringsleverans
- Resurser för kundsupport
TEKNISK PLANERING:
- Stabil uppdateringsmekanism
- OTA-infrastruktur
- Återställningsförmåga
- Testning under enhetens livstid
LIVSCYKELSTEG:
År 1–2: Aktiv utveckling, frekventa uppdateringar
År 3–4: Underhållsläge, säkerhetsuppdateringar enbart
År 5: Förberedelse för supportavslut
År 5+: Support avslutas, kundnotifiering
Praktisk efterlevnadsplan
Fas 1: Bedömning (Nu – Mitten av 2026)
[ ] Lista alla produkter med digitala element
[ ] Klassificera enligt CRA-kategorier
[ ] Identifiera produkter med kort nuvarande support
[ ] Analys av nuläge gentemot EN 303 645
[ ] SBOM-förmågeanalys
[ ] Kostnadsanalys för förlängning av supportperiod
Fas 2: Förberedelse (Mitten 2026 – Sept 2026)
[ ] Implementera EN 303 645-bestämmelser
[ ] Lägg till SBOM-generering i bygget
[ ] Etablera sårbarhethantering
[ ] Förbered ENISA-rapporteringsförmåga
[ ] Uppdatera teknisk filmall
[ ] Uppdatera användardokumentation
Fas 3: Efterlevnad (Sept 2026 – Dec 2027)
SEPTEMBER 2026:
[ ] Sårbarhetrapportering operativ
[ ] ENISA SRP-registrering
FRAM TILL 2027:
[ ] Slutför konformitetsbedömningar
[ ] Uppdatera alla produktlinjer
[ ] Slutför dokumentation
DECEMBER 2027:
[ ] Alla produkter CRA-kompatibla
[ ] CE-märkning applicerad
[ ] Kundkommunikation slutförd
Checklista för konsument-IoT
KONSUMENT-IoT CRA-CHECKLISTA
PRODUKTSÄKERHET:
[ ] Inga standardlösenord (unika eller användardefinerade)
[ ] Krypterad kommunikation (TLS 1.2+)
[ ] Säker uppdateringsmekanism
[ ] Minimal attackyta
[ ] Säkra standardinställningar
EN 303 645-SAMORDNING:
[ ] Granskat alla 66 bestämmelser
[ ] Implementerat obligatoriska bestämmelser
[ ] Dokumenterat efterlevnadsbevis
[ ] Övervägt certifiering
SBOM:
[ ] SBOM-generering i byggprocessen
[ ] Alla viktiga komponenter identifierade
[ ] Leveranskedjekomponenter inkluderade
[ ] Regelbundna SBOM-uppdateringar
SÅRBARHETHANTERING:
[ ] Offentlig säkerhetskontakt
[ ] Policy för sårbarhetavslöjande
[ ] ENISA-rapporteringsförmåga
[ ] Patchutvecklingsprocess
Vanliga frågor
Är EN 303 645 en harmoniserad standard enligt CRA?
Nej. Per den 22 maj 2026 är EN 303 645 inte publicerad som en CRA-harmoniserad standard i EUT. Den fungerar fortfarande som nyttigt tekniskt underlag för säkerhet i konsument-IoT, men skapar inte någon presumtion om överensstämmelse enligt CRA.
Kan EN 303 645 ändå hjälpa till med CRA-efterlevnad?
Ja. EN 303 645 täcker många grundläggande kontroller för konsument-IoT, däribland lösenordshantering, sårbarhetshantering, uppdateringar och dataskydd. CRA-specifikt underlag krävs fortfarande för SBOM, Artikel 14-rapportering, CE-märkning, EU-försäkran om överensstämmelse och teknisk dokumentation.
Behöver de flesta konsument-IoT-produkter ett anmält organ?
De flesta konsument-IoT-produkter tillhör sannolikt Default-kategorin och kan använda självbedömning, men klassificeringen beror på produktens funktion. Hemautomations-gateways, lösenordshanterare, VPN-produkter och säkerhetsprodukter kan hamna i Important-klasser och kräva en annan väg för bedömning av överensstämmelse.
Vad lägger CRA till utöver EN 303 645?
CRA lägger till formell bedömning av överensstämmelse, CE-märkning, teknisk dokumentation, upplysning om supportperiod, förväntningar på SBOM samt sårbarhets- och incidentrapportering enligt Artikel 14. EN 303 645 är en grundläggande säkerhetsstandard och inte ett komplett CRA-efterlevnadssystem.
Bör jag vänta på harmoniserade CRA-standarder innan jag förbättrar IoT-säkerheten?
Nej. Inför grundläggande kontroller redan nu och håll underlagen mappade mot CRA Bilaga I. När harmoniserade CRA-standarder publiceras jämför du den slutliga texten med befintliga EN 303 645-kontroller och täpper till eventuella luckor.
Hur CRA Evidence hjälper
CRA Evidence stöder tillverkare av konsument-IoT:
- EN 303 645-mappning: Spåra efterlevnad mot standardbestämmelser
- SBOM-hantering: Generera och hantera SBOM för inbyggda enheter
- Stöd för flera produkter: Hantera produktfamiljer effektivt
- Sårbarhetsspårning: Konsumentvänlig sårbarhethantering
- Dokumentation: Generering och hantering av teknisk fil
Starta din CRA-efterlevnad på craevidence.com.
Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.
Relaterade artiklar
CRA för tyska tillverkare: BSI, CERT-Bund och CE-märkning
Gäller CRA för din produkt?
Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.