Den 10 oktober 2024 antog Europeiska unionens råd (Rådet) förordningen om cyberresiliens (Cyber Resilience Act eller ”CRA”), som syftar till att säkerställa att uppkopplade produkter, såsom smarta kylskåp och uppkopplade hemkameror är säkra innan de släpps ut på EU:s inre marknad. CRA är ett av flera lagstiftningsinitiativ på cybersäkerhetsområdet som antagits inom ramen för EU:s Digital Decade. I denna artikel går vi i korthet igenom vad förordningen innebär, vilka produkter som omfattas och vad som händer nu.
CRA syftar till att höja cybersäkerhetsnivån för hårdvaruprodukter och programvaruprodukter med digitala element i syfte att säkerställa att dessa produkter är säkra innan de släpps ut på EU:s inre marknad. Genom CRA avser lagstiftaren öka motståndskraften inom EU för cyberattacker mot denna typ av produkter, täppa till luckor i den befintliga lagstiftningen och samtidigt öka förståelsen för och tillgången till information hos användare av dessa produkter.
Förordningen innebär bland annat olika krav på tillverkaren, som bland annat är skyldigt att:
Även om de flesta skyldigheterna i CRA ankommer på tillverkaren av en omfattad produkt är CRA relevant för alla aktörer i leveranskedjan, såsom importören och distributören av en omfattad produkt.
Förordningen omfattar alla produkter (hårdvara, mjukvara, eller IoT-enheter (”Internet of Things”) som direkt eller indirekt är anslutna till en annan enhet eller ett nät och som släpps ut på EUs inre marknad.
Detta innebär bland annat att produkter såsom smarta kylskåp, högtalare med Bluetooth-funktionalitet, laptops, och uppkopplade hemkameror, måste uppfylla kraven i förordningen innan de släpps ut på den inre marknaden.
Vilka krav som en omfattad produkt ska uppfylla beror på produktens risknivå och huruvida produkten är att anses som kritisk eller inte.
En produkt med digitala element ska enligt förordningen anses vara kritisk om de negativa konsekvenserna av utnyttjandet av potentiella sårbarheter i produkten kan vara allvarlig på grund av, bland annat, cybersäkerhetsrelaterade funktioner eller en funktion som medför en betydande risk för negativa effekter i fråga om dess intensitet och förmåga att störa, kontrollera eller orsaka skada på ett stort antal andra produkter eller på användarnas hälsa, säkerhet eller skydd genom direkt manipulering, såsom en central systemfunktion.
Bland de kritiska produkterna görs sedan ytterligare en indelning i Klass I respektive Klass II, där de produkter som faller inom Klass II anses utgöra en ännu allvarligare risk för negativa konsekvenser. Produkter med digitala element som inte faller inom Klass I eller Klass II anses utgöra icke-kritiska produkter.
Den huvudsakliga skillnaden mellan de olika kategorierna består i hur efterlevnad med de gemensamma säkerhetsstandarderna ska säkerställas. Medan icke-kritiska produkter kan genomgå självutvärdering, måste produkter i Klass I och II genomgå en utvärdering av en oberoende part.
CRA innehåller regler om sanktioner för överträdelser. Storleken på de sanktionsavgifter som kan utdömas beror bland annat på vilket brott mot förordningen som begåtts, samt faktorer som brottets svårighetsgrad och konsekvenser. Sanktionsavgiften kan vara högst 15 miljoner euro eller, om överträdelsen begås av ett företag, 2,5 % av företagets globala årsomsättning under det föregående räkenskapsåret.
Rådet har nu antagit CRA och förordningen kommer därför att publiceras i EU:s officiella tidning. Detta väntas ske inom de närmaste veckorna. CRA träder i kraft 20 dagar efter publiceringen, med en implementeringsperiod på 36 månader för de flesta bestämmelser. Vissa regler kan dock börja tillämpas tidigare.
Vinge bevakar löpande nyheter inom området. Har du frågor är du välkommen att höra av dig till oss.
