Kommissionen presenterade 15 september ett förslag till en ny förordning med regler om cybersäkerhet med syfte att ska skydda konsumenter och företag från digitala produkter med otillräckliga säkerhetsfunktioner. Bakgrunden består till stor del av de det kraftigt ökade antalet cyberattacker under pandemin.
Kommissionen har uppskattat de årliga kostnaderna för dataintrång till minst 10 miljarder EUR. Till detta kommer de årliga kostnaderna för skadliga försök för att störa internettrafiken, som uppgår till minst 65 miljarder EUR. Förslaget (Cyber Resilience Act (COM (2022) 454 final) bygger på EU:s strategi för cybersäkerhet och strategin för EU:s säkerhetsunion.
Förordningen föreslås gälla alla produkter som direkt eller indirekt ansluts till en annan enhet eller till ett nätverk, med vissa undantag för bland annat medicintekniska produkter, luftfart och bilar som redan omfattas av existerande EU-lagstiftning.
Ansvaret för att digitala produkter uppfyller säkerhetskraven faller enligt förslaget på tillverkarna, som ska säkerställa att kraven i förordningen efterlevs under produktens fullständiga tillverkningsprocess, inklusive vid utformning, utveckling och produktion. Tillverkarna ska även rapportera om sårbarheter under produktens livstid eller under fem år från det att produkten släpps ut på marknaden, beroende på vad som är kortast. Det ankommer dessutom på importörer och distributörer att endast importera respektive distribuera produkter som uppfyller de krav som föreskrivs i förordningen, vilket bland annat kan göras genom att undersöka den tekniska dokumentationen, eller att säkerställa att produkten i fråga har en CE-märkning.
Förslaget ålägger tillverkare att ta fram en så kallad ”declaration of conformity” samt övrig teknisk dokumentation som bevisar efterlevnad av nyckelkraven i förordningen. Denna dokumentation ska bland annat inkludera en detaljerad beskrivning av produkten, dess tillverkningsprocess och en riskbedömning samt testrapporter från tillverkningsprocessen.
En mer omfattande konformitetsbedömning föreslås för produkter som anses ha hög cyberrisknivå såsom operativsystem till datorer och mobiler, lösenordshanterare samt webbläsare. Denna konformitetsbedömning kommer bland annat kräva undersökning och tester genomförda av anmälda organ som utses och bevakas av den nationella tillsynsmyndigheten. Kommissionen föreslås kunna meddela särskilda krav rörande produkter med hög cybersäkerhetsnivå för vilka det kommer krävas ett EU-cybersäkerhetsintyg i enlighet med cybersäkerhetsakten (förordning 2019/881) för att beviljas CE-märkning.
Förslaget anger vidare nyckelkrav som alla produkter måste uppfylla under tillverkningsprocessen, vilket bland annat inkluderar att säkerställa att personuppgifter skyddas genom kryptering och att sårbarheter i produkter kan åtgärdas via säkerhetsuppdateringar. Tillverkare ska även genomföra en utförlig riskbedömning vars resultat ska ingå i dokumentationen som ska tas fram i samband med att produkten släpps ut på marknaden. Förslaget innehåller vidare krav avseende sårbarhetshantering under hela produktens livstid. Dessa innefattar bland annat en skyldighet att rapportera sårbarheter till EU:s cybersäkerhetsbyrå (ENISA) inom 24 timmar från att man blivit medveten om en sårbarhet. Användarna av produkten ska också informeras om incidenter och, om nödvändigt, om vilka åtgärder som de kan vidta. Produktens säkerhet ska testas och undersökas regelbundet av tillverkaren.
Kommissionens förslag fördelar ett antal befogenheter mellan medlemsstaterna, ENISA och Kommissionen. Medlemsstaterna ska utse nationella myndigheter vars uppgift är att säkerställa efterlevnad, bevaka och undersöka arbetet som genomförs av tillverkarna och de anmälda organen vid exempelvis efterlevnadsbedömningar. Medlemsstaterna ska även föreskriva påföljder för bristande efterlevnad vilket ska bestå av böter som inte överskrider EUR 15 000 000 eller 2.5% av den berörda aktörens årsomsättning.
ENISA föreslås ta emot anmälningar från tillverkare om sårbarheter och brister som upptäckts i produkter och vidarebefordra dessa till de berörda nationella myndigheterna samt till de nationella kontaktpunkter som ska ha utsetts av medlemsstaterna i samband med ikraftträdandet av det föreslagna NIS2-direktivet. Baserat på de anmälningar som tas emot ska ENISA vart annat år producera en teknisk rapport om trender avseende cybersäkerhetsrisker relaterade till digitala produkter.
Kommissionen föreslås få befogenhet att uppdatera listan av produkter med hög cyberrisknivå mot bakgrund av produktutveckling och trender. Kommissionen ska också säkerställa samordning och samarbete mellan anmälda organ. Kommissionen föreslås vidare få en central roll i de olika förfaranden som ska tillämpas när produkter med betydande cybersäkerhetsrisker upptäcks.
Enligt Kommissionen kommer förordningen att leda till färre cyberattacker och därigenom lägre kostnader för incidenthantering. Kommissionen menar att ökad cybersäkerhet i digitala produkter även kommer förbättra företagens ambitioner avseende säkerhetsnivå och bidra till ökad efterfrågan för produkter med digitala komponenter genom att konsumenternas förtroende för produkterna stärks. Kommissionen menar också att rätten till dataskydd kommer att stärkas genom att konsumenter och användare får tydligare instruktioner och information vid köp av produkter med digitala komponenter.
Förslaget har generellt fått ett positivt bemötande men kritik har riktats mot att vissa definitioner är vagt formulerade och att de inte tar hänsyn till skillnaderna i de olika produkternas utvecklings- och tillverkningsprocesser, vilket riskerar att leda till godtyckliga beslut. Det har även betonats att förordningen kommer leda till höga kostnader för berörda ekonomiska aktörer, vilket kan leda till att små och medelstora företag utesluts från marknaden.
Förslaget har nu lämnats till Europaparlamentet och Rådet. Efter antagande och ikraftträdande kommer tillverkare, anmälda organ och medlemsstater ha 24 månader på sig att anpassa sig till de nya kraven. Avsikten är att förordningen ska komplettera EU:s cybersäkerhetsram som inkluderar direktivet om säkerhet i nätverks-och informationssystem (NIS_direktivet) – för vilket Kommissionen har föreslagit en förstärkning (förslag till NIS2-direktiv) – och cybersäkerhetsakten.
Se Kommissionens pressmeddelande här och förslaget till förordningen här.