Kontakt
router IoT

Ny Cyber Resilience Act (CRA) – Vad innebär det för digitala produkter?

Den nya Cyber Resilience Act (EU) 2024/2847 är ett betydelsefullt steg framåt inom EU’s reglering av cybersäkerhet för digitala produkter. Denna förordning, som ska börja tillämpas från 11 December 2027, har utformats för att hantera de växande säkerhetsutmaningar som uppstår i samband med den snabba digitaliseringen och den ökande komplexiteten hos uppkopplade enheter. För tillverkare och leverantörer innebär detta nya krav på CE-märkning och strängare övervakning av produkters säkerhet under hela deras livscykel.

Vad är Cyber Resilience Act (CRA)?

Cyber Resilience Act är en förordning från EU-kommissionen som syftar till att stärka cybersäkerheten för digitala produkter som säljs inom EU. Målet är att säkerställa att alla digitala produkter, från smarta hem-enheter till komplexa IT-system, uppfyller tydliga säkerhetskrav redan vid designfasen och under hela sin användning. Detta innebär att tillverkare, importörer och distributörer måste beakta cybersäkerhetsaspekter och skydda sina produkter från hot som kan äventyra deras integritet och funktion.

Krav på CE-märkning 

En central del av Cyber Resilience Act är införandet av obligatorisk CE-märkning för produkter med digitala element (och relaterade digitala tjänster). CE-märkningen fungerar som ett indikation på att produkten har genomgått tester och bedömningar för att säkerställa att den uppfyller cybersäkerhetskraven. Detta krav gäller för alla tillverkare som vill släppa produkter med digitala element på den europeiska marknaden, oavsett om produkten är fysiskt tillverkad inom eller utanför EU.

Vilka produkter omfattas?

Cyber Resilience Act omfattar ett brett spektrum av produkter med digitala element som kan vara kopplade till nätverk och därmed potentiellt sårbara för cyberattacker. De huvudsakliga produktkategorierna inkluderar exempelvis:

  1. Internet of Things (IoT)-enheter:
    • Detta innefattar uppkopplade hushållsapparater som smarta kylskåp, lampor, säkerhetskameror och termostater. Dessa enheter är ofta mål för cyberattacker på grund av att de är konstant anslutna till nätverk och kan innehålla säkerhetsbrister.
  2. Industriella IoT-system:
    • Inkluderar system som används för att övervaka och styra industriella processer, såsom sensorer och styrsystem som är kopplade till tillverkningsutrustning, energihantering och smarta nätverk. Dessa kan vara särskilt känsliga för attacker som syftar till att störa verksamheter.
  3. Nätverksutrustning:
    • Routrar, switchar och andra nätverksenheter som används i både hem och företag. Dessa produkter är vanliga mål för attacker som försöker få tillgång till nätverkskommunikation och infrastruktur.

Cyber Resilience Act är utformad för att säkerställa att alla dessa produkter uppfyller strikta säkerhetskrav redan från designfasen och under hela sin livslängd.

Nya krav och skyldigheter för tillverkare och leverantörer

För att uppfylla de nya reglerna enligt Cyber Resilience Act måste tillverkare och leverantörer:

  1. Genomföra riskanalyser och säkerhetsbedömningar innan produkten lanseras.
  2. Utveckla produkter med “security by design” och “security by default” – säkerhet ska vara inbyggd och aktiverad från början.
  3. Dokumentera och rapportera eventuella säkerhetsincidenter och sårbarheter som upptäcks under produktens användning.
  4. Uppdatera programvara regelbundet för att åtgärda identifierade säkerhetsproblem och säkerställa fortsatt skydd.
  5. Förse användare med tydliga instruktioner om säker användning och potentiella risker kopplade till produkten.

Hur ska kraven uppfyllas

Harmoniserade standarder:

Om en produkt redan har certifierats under tidigare EU-standarder och uppfyller nuvarande säkerhetskrav, kommer dessa certifieringar fortfarande att anses giltiga enligt Cyber Resilience Act. Detta för att undvika att företag behöver genomföra omcertifiering för produkter som redan uppfyller säkerhetskrav.

Vad är tidslinjen för CRA? 

Liksom för andra regelverk så är det så att en produkt ska uppfylla alla relevanta regelverk vid tidpunkten den släpps på marknaden. Dessa krav gäller inte bara nya produkter utan även befintliga produkter som fortfarande tillhandahålls på marknaden efter detta datum. Om en äldre produkt säljs vidare, distribueras eller uppdateras, måste den också uppfylla CRA – såvida det inte finns ett specifikt undantag. I vissa fall kan även väsentliga ändringar av en produkt göra att den betraktas som ny, vilket innebär att CRA-kraven måste uppfyllas från grunden.

Cyber Resilience Act har två datum att hålla koll på:

11 september 2026

Från och med detta datum börjar rapporteringsskyldigheten i CRA att gälla. Det innebär att tillverkare, importörer och andra aktörer som omfattas av förordningen är skyldiga att rapportera aktivt exploaterade sårbarheter och allvarliga cybersäkerhetsincidenter till behöriga myndigheter inom vissa tidsramar:

  • Tidig varning inom 24 timmar
  • Kompletterande rapport inom 72 timmar
  • Slutrapport inom en månad (incident) eller 14 dagar (sårbarhet med åtgärd)

Rapporteringen ska ske till en nationell kontaktpunkt (t.ex. ett CSIRT) och till ENISA, EU:s cybersäkerhetsmyndighet. Syftet är att möjliggöra snabb reaktion och samordning vid hot mot digitala produkter.

11 december 2027

 Från och med detta datum tillämpas alla övriga krav i CRA fullt ut. Det innebär bland annat att:

  • Alla produkter med digitala element som släpps ut på EU-marknaden måste uppfylla de väsentliga cybersäkerhetskraven i CRA.
  • Produkterna måste genomgå en konformitetsbedömning, ha CE-märkning och åtföljas av en EU-försäkran om överensstämmelse.
  • Krav på säker design, riskanalyser, säkerhetsuppdateringar, och sårbarhetshantering under hela stödperioden börjar gälla.

Potentiella böter och sanktioner

En annan viktig aspekt av den nya förordningen är införandet av stränga böter för företag som inte uppfyller kraven. Om en digital produkt visar sig vara osäker eller om tillverkaren inte vidtar nödvändiga åtgärder för att säkerställa produktsäkerheten, kan företaget tvingas betala betydande böter. Enligt förslaget kan sanktionerna uppgå till upp till 2,5% av företagets globala omsättning eller 15 000 000 Euro, beroende på vad som är störst.

Vad betyder detta för företag?

Företag som tillverkar, importerar eller distribuerar digitala produkter inom EU behöver nu granska sina säkerhetsrutiner och säkerställa att deras produkter uppfyller de nya kraven innan de släpps på marknaden. Detta kan kräva investeringar i utveckling, säkerhetstester och dokumentation. Att misslyckas med att följa reglerna kan inte bara leda till böter, utan även påverka företagets rykte negativt.

Snabb sammanfattning: viktigaste punkterna om Cyber Resilience Act

  1. Nya krav för uppkopplade produkter:
    Produkter med digitala inslag måste uppfylla cybersäkerhetskrav för att kunna CE-märkas.
  2. Inbyggd cybersäkerhet:
    Tillverkare måste designa produkter med säkerhet i fokus och genomföra riskbedömningar.
  3. Livscykelhantering:
    Säkerhetsuppdateringar och hantering av sårbarheter krävs under hela produktens livslängd.
  4. Rapporteringskrav:
    Incidenter och kända sårbarheter måste rapporteras till ENISA inom 24 timmar.
  5. Konsumentskydd och marknadsfördelar:
    Företag som prioriterar cybersäkerhet kan stärka sitt varumärke och få konkurrensfördelar.
  6. Tidslinje:
    Redan mittten av 2026 träder rapporteringsskyldigheten in och CRA träder i kraft efter en övergångsperiod, börja förbereda ditt företag redan nu!

Cyber Resilience Act kommer att förändra hur digitala produkter utvärderas och marknadsförs inom EU. Med obligatoriska säkerhetskrav och strängare tillsyn är målet att bygga en mer motståndskraftig digital miljö där konsumenter och företag kan känna sig trygga med de produkter de använder. För företag innebär detta ett ökat ansvar att säkerställa att deras produkter är cybersäkra, från designfas till användning och vidare under produktens hela livscykel.

Med denna nya förordning markerar EU ytterligare ett steg mot att skydda sina medborgare och den inre marknaden från cyberhot, samtidigt som innovation och digitalisering främjas på ett säkert sätt.

Share:

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Certify & Comply

Certify & Comply levererar service av högsta kvalitet till tillverkare, importörer och exportörer som vill sälja sina produkter inom EU. 

Headphones Facebook Linkedin

CE-märkning av...

Maskiner

Medicintekniska produkter

Leksaker

Produktionslinjer

Elektriska produkter

Byggprodukter

Personlig skyddsutrustning

Genvägar

Guide till allt om CE-märkning

Lediga jobb

GDPR, cookies och integritetspolicy

Om Certify & Comply

Komma i kontakt

© 2024 Certify & Comply   All rights reserved.