Introduktion
Nytt direktiv för produkter som kommunicerar via internet
Den 1 augusti 2025 får cybersäkerhetsaspekten fullt genomslag i RED, vilket förändrar hur tillverkare måste tänka kring arkitektur, säkerhet och produktlivscykel för uppkopplad radioutrustning. Det innebär i praktiken en utvidgning av direktivets omfattning för att även inkludera cybersäkerhet, på grund av den växande digitaliseringen och det ökande antalet uppkopplade enheter i samhället.
RED-direktivet (2014/53/EU) infördes 2014 för att harmonisera regelverk kring radioutrustning i EU och säkerställa både teknisk säkerhet och effektiv radiospektrumanvändning. Ursprungligen fokuserade direktivet på säkerhet, elektromagnetisk kompatibilitet och effektiv användning av radiospektrum. Men med den delegerade akten (EU 2022/30), som infördes i oktober 2021, har cybersäkerhet lagts till som en central komponent i direktivet. Detta innebär att tillverkare nu också måste säkerställa att deras internetuppkopplade produkter uppfyller krav på skydd av nätverk, personuppgifter och integritet samt åtgärder mot finansiellt bedrägeri.
Vilka produkter omfattas?
De nya reglerna omfattar en rad produkter som kan kommunicera via internet. Dessa inkluderar bland annat smartphones, surfplattor, IoT-enheter, leksaker, babyövervakningssystem och bärbar teknik som smartklockor och fitnessarmband.
Eftersom det fortfarande saknas etablerade tolkningsriktlinjer från myndigheterna uppstår gråzoner där tillverkare själva måste göra bedömningar kring tillämpningen av kraven. Bedömningen blir mer komplex för enheter som använder mindre vanliga, egenutvecklade eller industriella kommunikationsprotokoll, särskilt inom OT- och industrimiljöer. Detta är mycket vanligt inom industri och OT-sektorn, som ofta använder sig av mindre avancerade och äldre protokoll som är trådlösa (t.ex., Wireless Hart), men inte direkt internetuppkopplade
Vilka krav införs?
De cybersäkerhetskrav som nu adderas berör alla cybersäkerhet och följer enligt nedan:
- Säkerställa högre nätverksskydd
- Säkerställa skyddet av personuppgifter och integritet
- Säkerställa skydd för finansiellt bedrägeri
Vad behöver man göra?
För de som berörs är det nu viktigt att börja förbereda sig för efterlevnad. Detta kan innefatta att genomgå en självbedömning, eller att förlita sig på en tredjeparts utvärdering för att erhålla EU-typcertifiering. De framtida riktlinjerna kommer troligen att bygga på befintliga nätverkssäkerhetsstandarder såsom EN 303 645 och IEC 62443-4-2.
Oavsett åtgärd behöver tillverkare nu säkerställa att produkter som släpps på marknaden inte bara är säkra ur ett hårdvaruperspektiv utan även i sitt nätverks- och dataskydd.
För att navigera genom dessa regeländringar och säkerställa efterlevnad är det viktigt för organisationer att börja med att identifiera vilka produkter som omfattas av de nya kraven, bedöma vilka ändringar som behövs för att uppfylla kraven, och i förekommande fall, säkra nödvändiga certifieringar som visar på efterlevnad och marknadsberedskap inför ikraftträdandet av kraven.
En enkel trestegs-plan innefattar nedan aktiviteter:
- Kartlägg vilka produktkategorier i portföljen som omfattas av RED-kraven.
- Utvärdera befintlig säkerhetsnivå och identifiera områden där förstärkningar krävs.
- Integrera kraven i de befintliga processerna för kvalitet, certifiering och säkerhet.
Hur kan man förenkla efterlevnad av kraven?
Industrisektorn upplever just nu en kraftig ökning av lagkrav och nationella såväl som internationella regelverk.
Det finns beröringspunkter mellan RED och NIS2, framför allt vad gäller synen på säkerhet som ett kontinuerligt ansvar. Båda regelverken betonar behovet av att arbeta proaktivt med riskbedömning, hantering av sårbarheter, incidentrapportering och att säkerställa en grundläggande nivå av cybersäkerhet i uppkopplade system. Skillnaden är att RED främst riktar sig mot tillverkare av radioutrustning och produkter, medan NIS2 har ett bredare tillämpningsområde och omfattar verksamheter inom samhällsviktig och viktig infrastruktur.
Som exempel förväntas Cyber Resilience Act (CRA) träda i kraft 2027, och utöver det förväntas en mängd nya regelverk tillkomma. För tillverkare som har produktion utomlands är det dessutom viktigt att hålla koll på utländska regelverk, och hur de samverkar med annan nationell och internationell lagstiftning.
För den som vill ligga steget före och förenkla arbetet med att övervaka regleringar, leverantörer, sårbarheter och liknande, finns vissa genvägar. Leta efter tjänster som kan övervaka leverantörers efterlevnad, produkter och sårbarheter, eller monitorera regelverksförändringar i de länder där ni har produktion. På Secify jobbar vi med den här typen av tjänster inom ramen för vårt Intelligence-område, där vi kan stötta med engångsinsatser eller på löpande basis. Läs mer här
Sammanfattningsvis innebär de uppdaterade kraven inom RED att cybersäkerhet behöver integreras som en kontinuerlig funktion i hela produktens livscykel – från konstruktionsfas och prototyparbete, till drift och hantering av säkerhetsuppdateringar. Organisationer som etablerar en tydlig och tekniskt grundad process för säker produktutveckling kommer inte bara uppfylla regelverket utan också stå starkare inför framtida krav och marknadens ökade fokus på säkerhet.
