ENISAs rådgivning om säkra uppdateringsmekanismer: en CRA-guide

Praktisk guide till ENISAs rådgivning om säkra uppdateringsmekanismer: CRA:s uppdateringskrav, 7 hot, kontrollerna som möter dem och ett konkret exempel.

CRA Evidence Team Publicerad 2 juni 2026 Uppdaterad 3 juni 2026
ENISAs tekniska rådgivning om säkra uppdateringsmekanismer, en utkastsguide som kopplar hot i uppdateringens livscykel till kontroller för CRA-tillverkare
I denna artikel

ENISA vill ha din återkoppling före den 10 juli 2026. Den andra tekniska rådgivningen om produktsäkerhet, Secure Update Mechanisms, ligger ute som utkast och samrådet är öppet nu.

Här är varför den spelar roll. Rådgivningen tar cyberresiliensförordningens krav på att leverera säkra uppdateringar och delar upp det i sju steg, vart och ett kopplat till ett verkligt haveri. Fyra var attacker: SolarWinds, ASUS, Notepad++ och Trivy. Ett, CrowdStrike-avbrottet 2024, var en felaktig release och inte en attack. ENISA kopplar sedan varje steg till kontroller som minskar sannolikheten för eller följderna av hotet eller haveriet. Den här guiden plockar fram de delar en mikro-, liten eller medelstor tillverkare behöver, knyter dem till dina CRA-skyldigheter, lägger till vår egen syn på verktyg och prioritering, och går igenom termostatexemplet som ENISA använder för att binda ihop allt.

Sammanfattning

  • ENISA publicerade rådgivningen Secure Update Mechanisms som ett utkast (Version 0.1) i maj 2026. Den är den andra i serien om produktsäkerhet, efter Secure Use of Package Managers som färdigställdes i mars 2026.
  • Rådgivningen är teknikneutral. Den är förenlig med The Update Framework (TUF), Uptane och NIST SP 800-40, men kräver ingen av dem.
  • Den modellerar uppdateringens livscykel i 7 steg över 3 förtroendezoner, listar hotet i varje steg med en verklig incident, och kopplar allt till 36 rekommendationer i 4 grupper.
  • Den knyter direkt an till uppdateringskraven i CRA Bilaga I: säkerhetsuppdateringar i tid, säker distribution, uppdateringar som sprids utan dröjsmål, integritetsskydd och automatiska uppdateringar med användarkontroll.
  • Den är inte juridisk rådgivning och inte en presumtion om överensstämmelse. Den talar inte heller om hur du rättar den underliggande buggen.
  • Ett genomarbetat exempel med termostat-firmware visar signering i två nivåer, ett signerat manifest, TLS-upptäckt, fem kontroller på enheten och atomisk A/B-installation med återställning.
  • Återkoppling samlas in via enkät, med deadline 10 juli 2026.
7
Steg i livscykeln
Bygg till statusloggning
4
Leveransmodeller
Inbyggd, plattform, manuell, stegvis
36
Rekommendationer
i 4 kontrollgrupper
10 jul
Deadline återkoppling
offentligt samråd 2026

Källa: ENISA Technical Advisory on Secure Update Mechanisms, utkast Version 0.1, maj 2026.

Vad rådgivningen är, och vad den inte är

ENISAs tekniska rådgivning om säkra uppdateringsmekanismer är ett utkast daterat maj 2026, märkt Version 0.1 i sidhuvudena. Den publicerade filen heter v0.6, vilket ser ut som ett skrivfel. ENISA öppnade den för offentligt samråd med en enkät som stänger den 10 juli 2026.

Den riktar sig till tillverkare av produkter med digitala element, och särskilt till de team som utformar, bygger eller driver uppdateringsmekanismer. ENISA skrev den för mikro-, små och medelstora tillverkare som behöver förstå vanliga uppdateringshot och tillämpa en uppsättning kontroller utan att bygga upp ett stort säkerhetsteam.

Var tydlig med begränsningarna. ENISA anger tre av dem direkt.

Läs disclaimern

Rådgivningen är inte juridisk rådgivning, inte en formell tolkning av CRA och inte en presumtion om överensstämmelse. Den täcker inte heller hur du utvecklar eller validerar själva programfixen, inklusive rotorsaksanalys. Överensstämmelse med Förordning (EU) 2024/2847 är fortsatt tillverkarens ansvar.

Vad den ger dig är en gemensam karta. Samma livscykel i sju steg löper genom hotavsnittet och kontrollavsnittet, så en kontroll pekar alltid tillbaka på det hot den svarar mot.

Uppdateringens livscykel, i sju steg

ENISA beskriver varje uppdatering, oavsett om det är firmware, en binär, en delta-patch, en signaturfil eller en konfigurationsändring, som något som rör sig genom samma sju steg. Fem aktörer driver dem: producenten (tillverkaren), publiceringstjänsten, uppdateringsförrådet, klientuppdateraren och slutpunkten.

De sju stegen löper över tre förtroendezoner. Producentens förtroendezon är där uppdateringen byggs och signeras. Distributionszonen, som omfattar förråd och CDN:er, behandlas som mindre betrodd. Enhetens förtroendezon är där uppdateringen verifieras och installeras.

Programuppdateringens livscykel över tre förtroendezoner. Producentzon: steg 1 bygg och signera, hotat av bygg- eller signeringsnyckelkompromiss (SolarWinds), steg 2 publicera, hotat av manipulation av metadata eller nyttolast (Trivy). Distributionszon, mindre betrodd: steg 3 sök efter uppdateringar, hotat av omdirigering, återuppspelning eller frysning (Notepad++), steg 4 hämta, hotat av utbyte av nyttolast (ASUS ShadowHammer). Enhetszon: steg 5 verifiera, hotat av svag eller saknad verifiering, steg 6 installera, hotat av felaktig eller skadlig installation (CrowdStrike), steg 7 logga status, hotat av haveri som inte upptäcks.
De sju uppdateringsstegen, förtroendezonen vart och ett ligger i, och den verkliga incidenten som visar vad som går fel i steget.

Den enskilt mest användbara tanken i dokumentet ligger bakom det diagrammet.

Lita på signaturen, inte på källan

Enheten förses med en publik rotnyckel som sitt förtroendeankare. En uppdatering accepteras för att kryptografisk verifiering går igenom, inte för var den laddades ner ifrån. Även om en CDN eller spegel komprometteras ska enheten avvisa en obehörig eller modifierad uppdatering.

Hur uppdateringar faktiskt når enheten

Livscykeln är densamma överallt. Vem som kör varje steg är det inte. ENISA namnger fyra leveransmodeller, och modellen avgör var dina kontroller måste sitta. Matrisen nedan visar vem som kör varje steg, så att du ser vilka celler det är du som bygger.

En matris med fyra leveransmodeller mot fyra uppdateringssteg: upptäckt, hämtning, verifiering och installation. För en inbyggd uppdaterare kör produkten alla fyra steg, så alla är ditt ansvar. För plattformshanterade uppdateringar kör en extern plattform alla fyra steg. För manuella uppdateringar utanför kanalen kör användaren upptäckt, hämtning och installation, medan verifiering är kontrollen du bygger. För företags- eller stegvisa uppdateringar kör kundorganisationen upptäckt, hämtning och installation, och verifiering delas mellan dig och kunden. I varje modell äger du alltid bygg och signering.
Vem som kör varje uppdateringssteg, som vi läser ENISAs fyra leveransmodeller. ENISA beskriver modellerna men tabellerar inte uppdelningen. Indigofärgade celler är de som du bygger och äger.

Exemplen ENISA ger: inbyggd täcker uppdaterare i skrivbordsappar, uppdaterare för plugin i produkten och webbläsarens autouppdatering. Plattformshanterad täcker appbutiker för mobiler, Linux-paketförråd, MDM-plattformar och butiker för webbläsartillägg. Manuell utanför kanalen täcker ett installationsprogram från en leverantörs webbplats, en patch via en säker portal eller ett paket via e-post. Företags- eller stegvis täcker WSUS-liknande stegning, företagsspeglar, servrar för patchhantering och överföring i luftgapade miljöer.

För enkla konstruktioner beskriver ENISA en enhet som litar på en publik rotnyckel plus en operativ signeringsnyckel. Mer avancerade konstruktioner använder separata signeringsroller, och driftsättningar med högre säkerhetskrav lägger till tröskelsignaturer, där mer än en nyckelinnehavare måste godkänna en känslig ändring. TUF och Uptane formaliserar den rolluppdelningen. Du behöver inte anta någon av dem för att nå baslinjen.

Sju sätt som uppdateringskanalen attackeras på

Det här är delen att läsa två gånger. ENISA går igenom varje steg i livscykeln, anger hotet, konsekvensen och en verklig incident. Mönstret är konsekvent: en kompromiss tidigt i kedjan förblir osynlig om senare steg behandlar allt som normalt. Tabellen nedan är rådgivningens avsnitt 3, komprimerat, med den primära kontrollen tillagd från avsnitt 4.

StegVad som går felVerklig incidentPrimär kontroll
1. Bygg & signeraByggpipeline eller signeringsnycklar komprometteras, skadlig kod bäddas in i signerade artefakterSolarWinds: skadlig kod infogad i byggmiljön och levererad i signerade uppdateringarBetrodd byggmiljö, nyckelskydd i en HSM, härkomst
2. PubliceraUppdateringens metadata eller nyttolaster manipuleras vid publicering, legitima filer byts ut eller hålls inneTrivy: release- och distributionsprocesser angreps för att skicka komprometterade artefakter genom betrodda kanalerValidering före release, kontrollerat releaseflöde, integritet i metadata
3. Sök efter uppdateringarOmdirigering, DNS-kapning, falska uppdateringstjänster, återuppspelning av gamla metadata, eller frysningsattacker som döljer nyare rättningarNotepad++: upptäckten av uppdateringar kapades så att utvalda användare kontaktade en källa som angriparen styrdeBetrodd uppdateringskälla, validering av att metadata är färska
4. HämtaNedladdning störs, skadliga eller korrupta artefakter levereras från förråd, speglar eller CDN:erASUS Live Update (ShadowHammer, 2019): skadliga artefakter skickade genom den normala nedladdningskanalen till specifika användareStark transportsäkerhet (TLS), behandla CDN:er som obetrodda, integritetskontroll
5. VerifieraSvag eller saknad kontroll av signatur, förtroendekedja, hash, version eller tillämplighet låter dåliga uppdateringar passera som giltigaNotepad++ stärkte senare verifieringen i installationsprogrammet efter kapningenSignaturverifiering, kontroll av integritet, skydd mot nedgradering
6. InstalleraSkadlig kod körs med förhöjda rättigheter, eller en felaktig uppdatering slår ut enhetenCrowdStrike Falcon-avbrottet (2024): en felaktig, icke-skadlig uppdatering orsakade omfattande krascherAtomisk installation, test av säker uppdatering, återställning och rollback
7. Logga statusLoggning, övervakning eller larm saknas, är avstängt eller undertryckt, så problem går obemärktaCrowdStrike-avbrottet visade varför snabb insyn i haverier och berörda slutpunkter spelar roll i stor skalaLoggning av uppdateringsstatus, säker loggning, rapportering av haverier

Hotmodellen ENISA utgår från är bred. Angripare kan rikta in sig på byggpipelines, signeringsnycklar, publiceringstjänster, förråd, CDN:er, DNS, återuppspelning av metadata, klientsidans uppdateringstillstånd eller installationsflödet. Blandningen av skadliga fall (SolarWinds, ASUS) och ett icke-skadligt (CrowdStrike) är medveten. En säker uppdateringsmekanism måste klara både en angripare och en dålig release.

STRIDE i korthet

Rådgivningens Bilaga 1 kopplar hoten till Microsofts STRIDE-kategorier. Det är en vägledande koppling, inte uttömmande, och flera hot spänner över mer än en kategori. Om du kör en enda hotmodelleringssession i år, använd den här tabellen som agenda: gå igenom din uppdateringskanal steg för steg och fråga vilken STRIDE-kategori som biter hårdast i varje. För ett litet team förtjänar raderna Manipulering och Identitetsförfalskning vid stegen Hämta och Sök mest tid, för det var där attackerna mot ASUS och Notepad++ landade.

Steg i livscykeln STRIDE-kategorier
Bygg / paketera / etablera förtroende Manipulering, Identitetsförfalskning, Behörighetshöjning
Publicera Manipulering, Identitetsförfalskning, Överbelastning
Sök efter uppdateringar Identitetsförfalskning, Manipulering, Överbelastning
Hämta Manipulering, Identitetsförfalskning, Överbelastning
Verifiera Identitetsförfalskning, Manipulering
Installera Behörighetshöjning, Manipulering, Överbelastning
Logga status Förnekande, Manipulering, Överbelastning

Kontrollerna, grupperade så som ENISA grupperar dem

Avsnitt 4 samlar kontrollerna i fyra etapper och anpassar dem till ENISAs Secure by Design and Default-playbook. Hela rådgivningen listar 36 namngivna rekommendationer. Tabellerna nedan behåller de mest värdefulla per etapp. Läs källan för den kompletta uppsättningen.

Förberedelse och publicering

Den här etappen täcker att bygga, godkänna och publicera uppdateringen och dess metadata.

Rekommendation Vad den betyder
Säker signeringspraxis Signera uppdateringens metadata med stark kryptografi, och bind artefakten till de metadata.
Nyckelskydd och nyckelhantering Lagra signeringsnycklar i en HSM, begränsa åtkomst, separera nyckelroller, och rotera eller återkalla vid misstänkt kompromiss.
Härkomst och spårbarhet Behåll spårbarhet från källa till release. Team med högre säkerhetskrav använder SLSA-härkomst eller in-toto-attestationer.
Beroendekontroll Kontrollera tredjeparts- och externa komponenter mot kända sårbarheter före release. Din SBOM matar den här kontrollen.
Strukturering av uppdateringar Utforma releaser så att säkerhetsuppdateringar levereras separat från funktionsändringar, och kan installeras automatiskt som standard där det går.
Koppling till säkerhetsmeddelande Släpp uppdateringen med tydlig information om sårbarheten, dess allvarlighetsgrad och åtgärd, så att användarna förstår hur brådskande den är.
Test av säkert uppdateringsbeteende Testa att uppdateringar installeras utan att slå ut enheten, och att rollback eller återställning fungerar vid haveri.

Upptäckt och hämtning

Den här etappen avgör hur klienter hittar och laddar ner uppdateringar utan att bli omdirigerade eller matade med inaktuell data.

Rekommendation Vad den betyder
Betrodd uppdateringskälla Hämta uppdateringsinformation enbart från behöriga, autentiserade slutpunkter.
Stark transportsäkerhet Använd TLS för upptäckt och hämtning, utan reservfall till osäkra protokoll.
Separation av förtroendezoner Behandla CDN:er, speglar och mellanhänder som obetrodda. Deras kompromiss får inte räcka för att skicka en modifierad uppdatering.
Validering av färska metadata Använd utgångstid, tidsstämpel, version eller monotont stigande sekvensnummer för att avvisa inaktuella, återuppspelade eller frysta metadata.
Stöd för automatisk hämtning Slå på automatisk upptäckt och hämtning som standard, med kontroller för att skjuta upp men inte blockera kritiska säkerhetsuppdateringar.

Verifiering och installation

Det här är den primära förtroendebeslutspunkten. Om den fallerar blir tidigare kompromisser till giltiga uppdateringar.

  1. Signaturverifiering. Verifiera att metadata är äkta, och bekräfta att artefakten är kryptografiskt bunden till dem.
  2. Validering av tillämplighet. Bekräfta att uppdateringen passar den här produkten, versionen och konfigurationen innan installation.
  3. Kontroll av integritet. Validera artefaktens hash och avvisa korrupt eller modifierat innehåll före installation.
  4. Versionskontroll och skydd mot nedgradering. Blockera installation av äldre eller obehöriga versioner med rollback-räknare eller monotont stigande sekvensnummer.
  5. Behörig installationskontext. Endast betrodda, behöriga komponenter får starta och köra installationen, med restriktioner enligt lägsta möjliga rättighet. Det här är kontrollen för hotet om förhöjda rättigheter i installationssteget.
  6. Atomiskt uppdateringsbeteende. Systemet går helt över till den nya versionen eller stannar säkert på den föregående, med återställning vid haveri.

Observerbarhet och återställning

Den här etappen loggar utfall, lyfter fram haverier och låter enheten återställas.

Rekommendation Vad den betyder
Loggning av uppdateringsstatus Logga utfallet av varje operation: lyckad, misslyckad, rollback eller delvis installation.
Säker loggning Skydda uppdateringsloggar mot manipulation och obehörig åtkomst.
Rapportering av integritetsfel Upptäck och rapportera fel i signatur, integritet eller validering av metadata.
Återställning och rollback Återställ efter misslyckade uppdateringar, inklusive att gå tillbaka till en känd fungerande version.
Återställning av förtroendeankare och nycklar Stöd säker rotation eller utbyte av signeringsnycklar vid kompromiss.

Hur team bygger det här med öppen källkod

ENISA håller rådgivningen teknikneutral och namnger ramverk och vägledning som TUF, Uptane, SLSA, in-toto och NIST SP 800-40, utan att rekommendera specifika verktyg. Det är rätt val för en tillsynsaktör, men det lämnar den praktiska frågan öppen. Kopplingen nedan är vår, inte ENISAs. Inget av de här verktygen är ett bevis på överensstämmelse. De implementerar ingenjörsarbetet. Du äger fortfarande bevisen.

Kontrollgrupp Verktyg och ramverk med öppen källkod Vad de ger dig
Bygg, härkomst, beroendekontroll Syft, Grype, Trivy och OSV-Scanner, plus SLSA-ramverket med in-toto-attestationer (producerade av verktyg som Tekton Chains eller SLSA-generatorer) Generera en SBOM, skanna beroenden mot kända sårbarheter, och producera signerad bygghärkomst från källa till artefakt.
Signera metadata och artefakter Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Signera uppdateringens metadata och bind artefakten till dem. Sigstore lägger till en publik transparenslogg. TUF lägger till signeringsroller och metadata om färskhet.
Skydda signeringsnycklar SoftHSM för test, och Sigstore Fulcio och Rekor för nyckellös signering, med en PKCS#11-HSM eller moln-KMS som grund för produktionsnycklar Håll signeringsnycklar borta från byggmaskiner och behåll en logg över vad som signerades och när.
Uppdateringsklienter på enheten Mender, RAUC, SWUpdate, OSTree Verifiera en signerad uppdatering på enheten, installera till en redundant slot eller driftsättning, och rulla tillbaka vid haveri. Hur uppdateringen når enheten beror på hur du integrerar dem.
Orkestrering av utrullning och ramverk Eclipse hawkBit (utrullning på serversidan till en flotta), Uptane (ramverk för säkra uppdateringar i fordon) Hantera och stega leverans till många enheter. Det här är inte installationsprogram på enheten.
Koppling till säkerhetsmeddelande och åtgärd OpenVEX, CSAF, CycloneDX VEX Publicera maskinläsbara uttalanden om sårbarhet och utnyttjbarhet bredvid uppdateringen.
Vår syn: bygg inte uppdateraren från grunden

För en inbyggd produkt kan ett underhållet A/B-ramverk som Mender, RAUC, SWUpdate eller OSTree ge dig signerade avbildningar, verifiering på enheten, atomisk installation och rollback, när det väl är konfigurerat för din uppdateringsmodell. Det täcker större delen av stegen 4 till 7 i ett beroende du inte själv behöver underhålla. Termostatexemplet nedan läser som en handbyggd version av det som de här verktygen ger när de väl är uppsatta. Lägg din egen kraft på nyckelskydd och bygghärkomst, de delar ingen uppdaterare ger dig gratis.

Bygg uppdateraren i beroendeordning

Den här delen är vår vägledning, inte ENISAs. En reservation först: det här är inte en kortlista att stanna vid. CRA kräver varje tillämpligt väsentligt cybersäkerhetskrav som gäller din produkt, utifrån din riskbedömning enligt Bilaga I, så målet är hela uppsättningen kontroller. Det som följer är den ordning vi skulle bygga dem i, så att ett litet team inte lamslås av 36 rekommendationer. Grunden gör de senare kontrollerna meningsfulla, så ordningsföljden spelar roll.

  1. Signera metadata och verifiera på enheten. Förse enheten med ett rotförtroendeankare och kontrollera signaturen innan något installeras. Gör det här först, för varje annan kontroll förutsätter att enheten bara accepterar äkta uppdateringar. Utan den blir resten dekoration.
  2. Lås ner transporten. TLS för upptäckt och hämtning, och behandla varje CDN eller spegel som obetrodd. Det här är mest konfiguration, så det är billigt, och det stänger ASUS-liknande hämtningsattacker.
  3. Lägg till kontroll av hash och tillämplighet. Små tillägg i verifieringssteget: bekräfta att artefaktens hash matchar det signerade manifestet, och att uppdateringen passar den här modellen och versionen. Liten insats när signering väl finns på plats.
  4. Planera skydd mot nedgradering tidigt. Det är den svåraste kontrollen att eftermontera, för den behöver skyddat räknartillstånd och samarbete med bootloadern, så planera den nu även om den landar senare. Det är försvaret mot frysning och nedgradering som ENISA betonar mest.
  5. Gör installationer atomiska, med rollback. A/B eller redundanta slottar, så att en dålig release (CrowdStrike-felläget) inte slår ut enheten. Det här är ett stort lyft om det handbyggs, vilket är varför ett underhållet ramverk oftast vinner här.
  6. Logga och rapportera utfall. En manipuleringssäker uppdateringslogg och rapportering av haverier, så att du kan upptäcka ett problem och bevisa vad som hände. Det här är också det dina CRA-bevis bygger på.

Ett genomarbetat exempel: att leverera en termostatpatch

ENISA avslutar med ett konkret exempel, och det är den tydligaste delen av dokumentet. En inbyggd IoT-termostat på version 1.0.0 behöver en säkerhetsuppdatering som rättar EUVDB-202X-Y, en brist i indatavalidering. Enheten använder en inbyggd uppdaterare. Exemplet är illustrerande, inte en universell mall.

Tillverkaren kör två signeringsnivåer. En rotsigneringsauktoritet hålls offline och godkänner en operativ leverantörssigneringsnyckel som används för rutinmässiga releaser. Den uppdelningen låter leverantörsnyckeln roteras utan att enhetens rotförtroendeankare ändras.

Enheten levereras med delarna som visas nedan.

Skiss av termostaten till vänster, som visar ratten på aktuell firmware v1.0.0, två firmware-slottar slot_a och slot_b, en staging-yta för overifierade nedladdningar, och en uppdatering som anländer över TLS. Till höger sex komponenter. root_public.pem är förtroendeankaret som sätts vid tillverkning och verifierar signeringsnycklar. vendor_public.pem verifierar signerade uppdateringsmetadata och kan roteras genom en uppdatering. slot_a och slot_b är två firmware-slottar för A/B-uppdateringar. staging är platsen för overifierade nedladdningar. rollback_counter är skyddat tillstånd mot nedgradering i icke-flyktigt minne. ca.pem är TLS-förtroendelagret som validerar uppdateringsserverns certifikat.
Vad som levereras inuti enheten, och hur en uppdatering anländer innan den kontrolleras.

Förberedelse. Bygget körs i en kontrollerad miljö med enbart behörig kod och behöriga beroenden. En SBOM genereras och kontrolleras mot sårbarheter. Tillverkaren producerar ett signerat manifest.json som bär SHA-256-hashen och filstorleken, tillämplig produkt och version, fält för färskhet och skydd mot nedgradering (tidsstämpel, utgångstid, rollback-räknare), och information från säkerhetsmeddelandet (allvarlighetsgrad, URL till meddelandet). En ändring på bytenivå i paketet ger en annan hash, som fångas på enheten.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Upptäckt. Termostaten söker efter uppdateringar över TLS och validerar serverns certifikat mot ca.pem. Fälten update_type och severity låter den skilja en säkerhetsuppdatering från en rutinrelease och meddela användaren därefter. Nedladdningar landar i staging, så att ett strömavbrott mitt i nedladdningen aldrig rör den körande firmwaren.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Verifiering och installation. Före installation kör enheten fem kontroller i ordning. Om någon fallerar avbryter den.

Fem kontroller körs i ordning innan en uppdatering installeras, och varje fel avbryter och behåller den aktuella firmwaren. Kontroll 1 förtroende för signeringsnyckel: rotnyckeln bekräftar att leverantörsnyckeln är behörig. Kontroll 2 signatur: leverantörsnyckeln verifierar manifestets signatur. Kontroll 3 hash: artefaktens SHA-256 matchar manifestet. Kontroll 4 skydd mot nedgradering: manifestets rollback-räknare är minst lika hög som enhetens räknare. Kontroll 5 tillämplighet: modell, version, tidsstämpel och konfiguration matchar. Om alla fem går igenom skrivs firmwaren till den inaktiva slotten och aktiveras med ett atomiskt A/B-byte. Om någon kontroll fallerar avbryts uppdateringen och den körande firmwaren rörs inte.
En uppdatering måste klara alla fem kontrollerna innan den rör den aktiva firmwaren.

Kontrollen mot nedgradering väger tyngst. Enhetens rollback-räknare ökar bara efter att ny firmware har bootat och klarat sina hälsokontroller, så en misslyckad eller skadlig uppdatering kan inte tyst höja golvet och låsa ute en senare rättning. Vid framgång skrivs firmwaren till den inaktiva slotten och aktiveras med ett atomiskt slottbyte, så att en känd fungerande version alltid finns kvar. Observerbarhet loggar varje försök i en behörighetsbegränsad update.log med tidsstämpel och status. Om leverantörsnyckeln någonsin komprometteras signerar och levererar tillverkaren en ny leverantörsnyckel som rotnyckeln godkänner. Rotnyckeln uppdateras aldrig genom den här kanalen. En kompromiss av roten kräver en separat säker process, till exempel fabriksåterställning.

Vad det betyder för din CRA-akt

Rådgivningens sista tabell parar ihop varje säkerhetspåstående med exempel på bevis och artefakter. Den kopplingen är bryggan till din tekniska dokumentation. CRA:s tekniska dokumentation kräver båda: en beskrivning av din lösning för säkra uppdateringar (Bilaga VII) och bevisen bakom den, inklusive en programvaruförteckning (SBOM) och testrapporter. En beskrivning utan något bakom sig är den svaga punkten.

Vår uppfattning: börja med bevisen, inte kontrollerna

Det här är vår uppfattning, inte ENISAs. För en SMF med begränsad tid är den här tabellen den del av rådgivningen att agera på först. CRA:s tekniska dokumentation (Artikel 31 och Bilaga VII) vill ha en beskrivning av din uppdateringslösning plus bevisen bakom den: testrapporter, en SBOM och artefakter. De flesta team kan skriva beskrivningen. Den svårare frågan är om du kan producera bevisen för varje påstående i dag. Det är där vi skulle lägga den första timmen.

Exemplets säkerhetspåståenden, och bevisen som stöder vart och ett, ser ut så här.

Vad du kan påstå Bevis att behålla
Uppdateringen kan litas på (ursprung och sammansättning) Byggloggar, SBOM, SCA-resultat, CI/CD-poster
Skyddad mot obehörig release eller imitation Signerat manifest, publika rot- och leverantörsnycklar, signeringsloggar
Säkerhetsrättningar levereras utan operativ fördröjning Releasenoteringar enbart för säkerhet, manifestfält
Uppdateringskanalen är autentiserad och privat ca.pem, TLS-inställningar
Skyddad mot att frysas på en sårbar version Färskhetskontroller, utgångstid, loggar för versionsvalidering
Verifierad före aktivering, skyddad mot nedgradering Publika nycklar, signaturfiler, tillstånd mot nedgradering
Haverier upptäcks och kan återställas update.log, loggar från hälsokontroller, rollback-poster

Varje rad stöder ett eller flera krav i CRA Bilaga I, från integritet och säker distribution till övervakning och tillgänglighet. Se CRA:s krav på säkerhetsuppdateringar för detaljerna på artikelnivå.

Om du inte kan producera den högra kolumnen i dag är den luckan din uppgift. En VEX-post och en SBOM-driven beroendekontroll täcker två av de här raderna direkt. Din tillbörliga aktsamhet mot leverantörer täcker bygg-förtroende-raden för komponenter du inte själv skrev.

Vanliga frågor

Är ENISAs rådgivning om säkra uppdateringsmekanismer obligatorisk?

Nej. Den är ett tekniskt rådgivningsutkast, inte juridisk rådgivning, och ENISA anger att den inte är en presumtion om överensstämmelse. De bindande skyldigheterna finns i CRA, främst uppdateringskraven i Bilaga I. Rådgivningen hjälper dig att uppfylla dem i praktiken, men en marknadskontrollmyndighet bedömer dig mot Förordning (EU) 2024/2847, inte mot det här dokumentet. CERT-SE är Sveriges nationella CSIRT. Varken MSB eller någon annan svensk myndighet har per 2026 publicerat nationell CRA-vägledning för tillverkare, så de bindande kraven kommer fortsatt från CRA-texten själv.

Hur skiljer sig den här från ENISAs Secure by Design-playbook?

Secure by Design and Default-playbooken täcker hela produkten över 22 principer och hela livscykeln. Den här rådgivningen zoomar in på ett delsystem, uppdateringskanalen, och går på djupet med dess sju steg, hot och kontroller. Läs playbooken för principer som gäller hela produkten, och den här rådgivningen när du utformar eller granskar själva uppdateraren.

Vilka CRA-krav uppfyller en säker uppdateringsmekanism?

En säker uppdateringsmekanism är hur du uppfyller CRA:s uppdateringsskyldigheter i Bilaga I. I klartext låter den dig visa att du kan leverera säkerhetsrättningar snabbt, leverera dem över en kanal som inte kan manipuleras, skydda dem mot korruption, låta användarna ta emot dem automatiskt med viss kontroll kvar, och tala om för användarna när en uppdatering spelar roll. Kontrollerna för att bygga, distribuera, verifiera och återställa i den här rådgivningen svarar mot vart och ett av dem. Se CRA:s krav på säkerhetsuppdateringar för detaljerna på artikelnivå.

Måste jag införa TUF eller Uptane?

Nej. Rådgivningen är teknikneutral och säger bara att dess rekommendationer är förenliga med TUF, Uptane och NIST SP 800-40. Baslinjen är ett förtroendeankare på enheten, signerade metadata, verifiering på enheten och skydd mot nedgradering. TUF och Uptane formaliserar flera signeringsroller och metadata om färskhet för konstruktioner med högre säkerhetskrav, så inför dem om din riskprofil kräver det.

Vad är skydd mot nedgradering och varför betonar rådgivningen det?

Skydd mot nedgradering hindrar en angripare från att tvinga en enhet tillbaka till en äldre, sårbar, men fortfarande giltigt signerad version. Det är en frysnings- eller nedgraderingsattack, och den dyker upp i stegen sök, verifiera och installera. Termostatexemplet använder en rollback-räknare i skyddat minne som bara ökar efter att ny firmware har bootat och klarat hälsokontroller. Utan den seglar en signerad-men-gammal uppdatering rakt igenom signaturverifieringen.

Hur lämnar jag återkoppling till ENISA?

ENISA samlar in återkoppling via en offentlig enkät, med deadline 10 juli 2026. Du kan läsa utkastet till rådgivning som PDF på ENISAs webbplats, där länken till enkäten också publiceras. Om du levererar uppdateringar till produkter med digitala element är din verkliga leveransmodell precis det som ENISA bad tillverkare att väga in på.

Nästa steg

Vad du gör före deadline den 10 juli

  1. Rita din egen version av diagrammet med sju steg för en verklig produkt. Markera vilken av de fyra leveransmodellerna du använder och vilka steg du faktiskt kontrollerar.
  2. Kör tabellen med sju hot mot den produkten. För varje rad, skriv ner kontrollen du har i dag och beviset du skulle kunna visa, med CRA:s krav på säkerhetsuppdateringar som checklista.
  3. Stäng de två enklaste bevisluckorna först: generera en SBOM i din byggpipeline och sätt upp VEX-poster för koppling till säkerhetsmeddelanden.
  4. Om din konstruktion saknar skydd mot nedgradering eller atomisk installation, utvärdera ett underhållet uppdateringsramverk (Mender, RAUC, SWUpdate, OSTree) innan du bygger det själv. Det är den svåraste kontrollen att eftermontera och den ENISA betonar mest.

Den här artikeln är endast för informationsändamål och utgör inte juridisk rådgivning. För specifik vägledning om efterlevnad, rådgör med kvalificerad juridisk expertis.

CRA Säkerhet ENISA Leveranskedja Secure by Design
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad