Vad är The Cyber Resilience Act? -en guide till CRA

Lästid: 6 minuter

I september 2022 offentliggjordes i EU ett förslag till en ny förordning om cybersäkerhet kallad CRA som står för Cyber Resilience Act. Cyber Resilience Act ska skydda marknaden från produkter och mjukvara som har undermåliga säkerhetsfunktioner eller som kan utgöra en säkerhetsrisk. Cyber Resilience Act vänder sig både till företagskunder och privatpersoner. Lagen är en uppsättning förväntningar för alla produkter, hårdvara eller mjukvara, med digitala element. Det omfattar bland annat möjligheten att utföra uppdateringar, följa noggranna metoder för programvaruutveckling i produkten och även en bedömning av cybersäkerhetsrisker.

Cyber Resilience Act skall skydda alla användare

Lagförslaget är utformat så att det anger en nivå av grundläggande cybersäkerhetskrav. Kraven omfattar alltså även alla produkter som ansluter till internet, däribland IoT-produkter, nätverksprodukter mm. Genom Cyber Resilience Act får inte produkter som ansluter och utbyter data med andra enheter sättas på marknaden om det finns kända sårbarheter. För de flesta enheter kommer tillverkare att kunna göra en egen bedömning om man fyller dessa krav, men för vissa specifika produkter som anses vara ”kritiska” eller ”mycket kritiska” kommer det sannolikt att krävas en extern revision.

Bakgrund

I vårt moderna samhälle har allt fler företag och organisationer ökat sitt beroende av digital teknik för att kunna bedriva sin verksamhet på ett effektivt sätt. I den sammankopplade infrastrukturen i moderna samhällen kan en cybersäkerhetsincident påverka ett helt system och störa många ekonomiska verksamheter eller samhällsviktiga funktioner. Detta skapar en utsatt position för många företag eftersom en digital uppkoppling kan medföra både möjligheter och hot. Antalet cybersäkerhetsincidenter ökar, men det är inte bara antalet som ökar utan även komplexiteten i utförandet, omfattningen och konsekvenserna av attackerna ökar.

Genom Cyber Resilience Act införs regler för att skydda digitala produkter som inte omfattas av något tidigare regelverk. På så sätt blir Cyber Resilience Act den första lagstiftningen som även påverkar IoT i världen.

Huvudmål

Ett av Cyber Resilience Acts huvudmål är att skapa förutsättningar för utveckling av säkra produkter genom att se till att hård- och mjukvaruprodukter som släpps ut på marknaden har färre sårbarheter. Man ålägger tillverkarna att ta säkerheten på allvar genom att låta dem ta ansvar för den under produktens hela livscykel och upp till fem år efter att den tillverkats. Det andra målet är att skapa förutsättningar för att användare ska kunna ta hänsyn till cybersäkerhet när de väljer och använder produkter i den här kategorin. Användarnas intressen skall skyddas även efter att tillverkaren levererat produkten kort och gott.

Detta kan betyda olika saker men som exempel kan tillverkare tvingas garantera att det finns processer för att hantera sårbarheter under hela produktlivscykeln, med konsekvenser för de som inte tar ansvar. Detta omfattar bland annat en skyldighet att rapportera sårbarheter och incidenter skyndsamt.

Vem omfattas av Cyber Resilience Act?

Förordningen föreslås omfatta alla produkter som är direkt eller indirekt anslutna till en annan anordning eller ett nätverk (undantaget medicinsk utrustning, flygtrafik och bilar som omfattas av liknande regelverk).

Alla produkter som omfattas av regelverket måste genomgå en självcertifieringsprocess där tillverkaren bedömer om produkten uppfyller de relevanta standarderna, grundläggande cybersäkerhetskrav med andra ord, medan ”kritiska produkter” måste genomgå en certifiering av ett EU-organ. Produkter som inte definieras som ”kritiska produkter” kan bedömas genom tillverkarens egenkontroll utan direkt bedömning av ett kontrollorgan. Samtidigt är det troligt att tillverkare av produkter som tar detta seriöst kommer att anlita externa bedömare, även i denna kategori.

Grundläggande krav på cybersäkerhet

Produkter kommer endast tillåtas på marknaden om de uppfyller de grundläggande cybersäkerhetskrav som ställs upp. Dessa säkerhetskrav bygger först och främst på befintlig god praxis, vi kan alltså vara säkra på att seriösa tillverkare ligger bra till redan idag.

Krav på hantering av sårbarheter

Tillverkare måste ha rutiner att se till att sårbarheter hanteras på lämpligt sätt och dessutom offentliggöra information om åtgärdade sårbarheter. Detta utgörs av en rapporteringsplikt, man måste under alla omständigheter inom 24 timmar efter att ha fått kännedom om en aktivt utnyttjad sårbarhet i produkten eller en incident som påverkat produktens säkerhet rapportera in händelsen. Användare av produkten eller systemet ska sedan underrättas utan onödigt dröjsmål och vid behov ska tillverkaren tillhandahålla information om åtgärder som användaren kan vidta för att mildra konsekvenserna av incidenten.

Högre krav på ”kritiska” produkter

Kritiska produkter är sådana som utför en viktig säkerhetsfunktion, exempelvis för autentiserings-, passage-, intrångs- eller nätverksskydd. Definitionen är bred och omfattar system för övervakning av nätverkstrafik, system för hantering av säkerhetsinformation och brandväggar men även IoT-utrustningar om de är del av ett larmsystem.

Produkter för IoT kan dessutom anses vara kritiska om de spelar en central roll i en bredare systemkontext eller om de har potential att skada flera andra anslutna produkter. Detta kriterie gäller exempelvis inbäddade webbläsare, hantering av nätverksresurser, system för centraliserad systemkonfiguration, routrar, mikroprocessorer samt industriprodukter och styrsystem som inte omfattas av den tuffare kategorin mycket kritiska produkter.

Mycket kritiska produkter

Produkter skulle kunna betraktas som mycket kritiska om de uppfyller bägge ovanstående kriterier, med andra ord att de har en viktig säkerhetsfunktion och är centrala i en IoT-miljö sett ur bredare perspektiv.

Denna klass omfattar virtuella privata nätverk (VPN), nätverkshanteringssystem för konfiguration, övervakning och uppdatering av nätverksenheter. Brandväggar för industriellt bruk kategoriseras som mycket kritiska om de både har en cybersäkerhetsrelaterad funktion och används i känsliga miljöer. Här nämns industriella kontrollmiljöer som betecknas som väsentliga enligt det nyligen reviderade direktivet NIS2.

En ytterligare grupp av produkter skulle klassificeras som ”mycket kritiska” om de uppfyller det dubbla villkoret att de används i en känslig miljö och är centrala för att hantera ett större system. Till denna produktgrupp hör integrerade kretsar, industriella automations- och kontrollsystem, industriella IoT-enheter och smarta mätare för el och vatten.

Ovanstående är bara ett par exempel som vi anser relevanta för våra kunder och intressenter. Den fullständiga förteckningen över kritiska och mycket kritiska produkter finns i bilagan till lagförslaget.

cyber-resilience-act infographic

Märkning

Varje produkt skall tillhandahållas med en EU-försäkran om överensstämmelse, denna tillsammans med CE-märkningen ska fästas på själva produkten eller på produktetiketten. I försäkran om överensstämmelse ska namn och nummer på det godkända anmälda organ som utfört bedömningen av överensstämmelse anges.

Dokumentation

Teknisk dokumentation måste upprättas innan produkten släpps ut på marknaden och skall uppdateras kontinuerligt under produktens förväntade livslängd eller under fem år efter det att produkten har släppts ut på marknaden. Det finns även ett krav på att tillhandahålla en kontakt dit information om sårbarheter i produkten när det gäller cybersäkerhet kan rapporteras. Tillverkaren måste även kunna deklarera hur/när användarna kan förvänta sig att få säkerhetsuppdateringar.

Omfattar hela leveranskedjan

Distributörer och importörer har också skyldigheter enligt Cyber Resilience Act. Skyldigheterna syftar till att se till att produkter som inte uppfyller kraven från utlandet inte kommer in på EU:s marknad. Exempelvis måste varje importörer innan de sätter en produkt på marknaden se till att tillverkaren har genomfört lämpliga förfaranden för bedömning av överensstämmelse, har en teknisk dokumentation och att produkten är försedd med rätt märkning. Det är distributörens skyldighet att informera tillverkaren om de upptäcker en sårbarhet i produkten. Och om produkten utgör en betydande risk för cybersäkerhet måste distributör eller importör informera berörda myndigheterna.

Lär dig mer om IoT

För oss är IoT ett brett begrepp. Vi definierar IoT som en samling disruptiva tekniker som möjliggör digitalisering. Genom IoT kan företag få datadrivna insikter som kan hjälpa dem fatta bättre beslut. Med IoT kan vi snabbare nå klimat och jämställdhetsmål. För att snabbare lyckas med en IoT-satsning så är det viktigt med kunskap. Vi har därför satt ihop en 100-sidors publikation om IoT. Du kan ladda ned den genom att ange mailadress och namn nedan, du får därefter ut ett mail med information om hur du laddar ned guiden.





* obligatoriska fält

Du kanske också vill läsa om:

19 september, 2023

NIS2 -för ökad motståndskraft mot cyberhot

NIS2 är ett nytt direktiv som införs under 2024, den reglerar framförallt cybersäkerhetsklassificeringar för EU-företag. Vilka branscher som påverkas, och vilka krav som ställs? Läs mer om NIS2 idag.

16 januari, 2018

Vad innebär NIS-direktivet?

NIS-direktivet som börjar gälla i maj innebär att samhällsaktörer inom vissa områden måste bedriva kontinuerligt arbete med säkerhet i bland annat kommunikationslösningar. Det hela bottnar i ökade risker för attacker som kan slå ut viktiga samhällsfunktioner.

Induos logo
Induo AB
08-659 43 00

www.induo.com
[email protected]

Mer information:

Fyll i formuläret nedan med namn, e-post och kanske ett meddelande så hör vi av oss så snart vi kan, tack!

* Genom att skicka in formuläret samtycker du att vi lagrar dina uppgifter för att hjälpa dig med din förfrågan.

Läs mer om:

Leverantörer
Produkter

Socialt:

Följ oss i sociala medier:

linkedinfacebooktwitteryoutube

Vi förser mänskligheten med innovativa kommunikationslösningar oavsett avstånd.

Back To Top
Sök