Cyberresiliensakten – Det här behöver du veta

Martin Palmqvist 28 februari, 2023

Eyebrow

Cyberresiliensakten – ökar kraven på cybersäkerhet för tillverkade av produkter

Tillverkar eller tillhandahåller du digitala produkter eller produkter med digitala komponenter på den europeiska marknaden? Om svaret är ja kan du komma att påverkas av kraven på informations- och cybersäkerhet i cyberresiliensakten.

Bakgrund

Cyberresiliensakten

Den Europeiska kommissionen presenterade den 15 september 2022 sitt förslag till en förordning om horisontella cybersäkerhetskrav för produkter med digitala element – den så kallade cyberresiliensakten (CRA), eller cyber resilience act på engelska. Förslaget har sin bakgrund i EU:s cybersäkerhetsstrategi från 2020 och tar avstamp i de många och kostsamma cybersäkerhetsincidenter som sker och glappet i det europeiska regelverket gällande produkter som kan påverkas av sådana incidenter.

De berörda produkterna kallas i akten för produkter med digitala element och inkluderar i nuvarande utformning alla sådana som tillhandahålls på den europeiska marknaden oaktat var den tillverkats eller var företaget som säljer dem är registrerat. I dagens digitaliserade samhälle återfinns de digitala produkterna, eller de som innehåller digitala komponenter, i nästan alla verksamheter– antingen som varor man säljer eller som möjliggörare för den verksamhet man bedriver. Kort och gott så är det väldigt många produkter som kommer att beröras!

Vad är produkter med digitala element?

Alla hård- eller mjukvaruprodukter inklusive dess lösningar för fjärrdatabehandling samt de mjukvaru- eller hårdvarukomponenter som tillhandahålls separat.

Kontroller som ökar säkerheten

CRA syftar till att öka säkerheten i produkterna som tillhandahålls på den europeiska marknaden genom att ställa krav på informations- och cybersäkerhet i hela livscykeln från design och produktion till säkerhetssupport och -uppdateringar när produkten väl finns tillgänglig på marknaden. De produkter som berörs kommer att behöva genomgå vissa kontroller för att minimera sårbarheterna – i de flesta fall genom självkontroller men för vissa produktkategorier genom extern granskning. I detta ansvar ingår även att ha processer på plats för att kunna rapportera uppkomna incidenter eller sårbarheter till EU:s cybersäkerhetsbyrå, ENISA.

Kraven i Cyberresiliensakten

För att konsumenter ska kunna ta en produkts informations- och cybersäkerhet i beaktande kommer produkter med digitala element som tillhandahålls på den europeiska marknaden att behöva vara märkta för att påvisa att man uppfyller kraven i akten.

Några av kraven som nämns är att:

  • Genomföra riskbedömning avseende cybersäkerhet för produkterna
  • Leverera produkterna utan kända sårbarheter
  • Tillhandahålla dokumentation över cybersäkerhetsrisker
  • Införa och verkställa policy för samordnad redovisning av sårbarheter
  • Skydda konfidentialiteten och integriteten för personuppgifter eller andra uppgifter
  • Begränsa attackytor, inbegripet externa gränssnitt

Behöver du och ditt företag hjälp med att bygga upp, utvärdera eller förbättra ert informations- och cybersäkerhetsarbete?
Då akten ännu inte är helt färdigförhandlad finns det fortfarande en viss mån av osäkerhet kring vad förslaget kommer att innebära för verksamheter som tillverkar eller tillhandahåller berörda produkter. Om ni har frågeställningar rörande just detta och vill vara förberedda, eller såklart även om ni har övriga frågor kopplat till informations- eller cybersäkerhet, tveka inte att kontakta Secify för råd och stöd. Vi erbjuder en bred uppsättning av tjänster inom såväl informationssäkerhet som cybersäkerhet och dataskydd. Secify har hjälpt företag genom att bland annat genomföra penetrationstester för att kartlägga sårbarheter, stöttat i riskbedömningar och i att införa ledningssystem för informationssäkerhet enligt internationella standarder.