Digitale produkter er blevet rygraden i alt fra hjemmet til industrien, men også en voksende sikkerhedsrisiko. Cyberangreb som Log4j-sårbarheden og Mirai-botnettet har vist, hvor hurtigt en enkelt svaghed kan sprede sig globalt.
Derfor har EU vedtaget Cyber Resilience Act (CRA). En forordning, der stiller fælles krav til cybersikkerhed i produkter med digitale elementer. Lige fra software og hardware til tilknyttede tjenester. Forordningen blev vedtaget i 2024 og er en del af EU’s samlede Cybersecurity Strategy fra 2020, der også omfatter NIS2- og CER-direktivet. Sammen skal initiativerne skabe et mere robust og modstandsdygtigt digitalt indre marked i EU.
En fælles ramme for cybersikkerhed i produkter
Cyber Resilience Act udspringer af et tydeligt behov for at styrke den kollektive modstandsdygtighed i det europæiske digitale økosystem. I dag hænger cybersikkerhed i produkter tæt sammen med både forbrugertillid, innovation og forsyningssikkerhed. Når et enkelt usikkert produkt kan udgøre en risiko for tusindvis af organisationer, er et fælles sæt spilleregler ikke bare ønskværdigt, men nødvendigt.
Med CRA får EU for første gang en fælles ramme for cybersikkerhed i produkter med digitale elementer. Den skal sikre, at alle aktører, uanset størrelse eller branche, lever op til minimumskrav for sikker udvikling, risikostyring og løbende opdatering.
For virksomheder betyder det et skifte fra fragmenterede nationale krav til et harmoniseret regelsæt, der skaber klarhed og forudsigelighed på tværs af medlemslandene. For brugerne betyder det produkter, hvor sikkerheden ikke afhænger af producentens gode vilje.
Hvem er omfattet af forordningen?
Cyber Resilience Act gælder for alle produkter med digitale elementer, der kan forbindes direkte eller indirekte til et netværk. Det dækker et bredt spektrum af både hardware og software – alt fra styresystemer og applikationer til smart home-enheder, netværksudstyr og industrielle kontrolsystemer.
Kort sagt: Hvis et produkt kan opdateres, kommunikere digitalt eller påvirkes gennem en netværksforbindelse, er det som udgangspunkt omfattet af CRA.
Der findes dog visse undtagelser. Forordningen gælder ikke for produkter, der allerede er reguleret af sektorspecifik EU-lovgivning med tilsvarende krav. Fx i luftfart, bilindustrien og medicinsk udstyr. Derudover er open source-software, som udvikles og deles uden kommercielle formål, som udgangspunkt undtaget.
Security by design og security by default
Kernen i Cyber Resilience Act er de to grundprincipper security by design og security by default.
Security by design betyder, at cybersikkerhed skal tænkes ind i produktets arkitektur fra starten - ikke som et ekstra lag, der tilføjes senere. Producenter skal identificere og minimere potentielle trusler allerede i design- og udviklingsfasen, så sikkerheden bliver en indbygget egenskab.
Security by default handler om, at produktet skal være sikkert i sin standardopsætning. Brugeren skal ikke selv aktivere sikkerhedsfunktioner for at være beskyttet. De skal være slået til som udgangspunkt.
Tilsammen markerer de to principper et skifte fra reaktiv til proaktiv cybersikkerhed. Det er ikke længere nok at reagere på trusler, når de opstår. Sikkerheden skal bygges ind i produktets DNA fra dag ét.
LÆS OGSÅ: Cyberresiliens som en del af GRC-strategien
Krav til producenter, importører og distributører
Forordningen stiller tydelige krav til alle led i leverandørkæden.
Producenter skal sikre, at deres produkter udvikles og vedligeholdes efter høje sikkerhedsstandarder. Det indebærer, at de foretager risikovurderinger, dokumenterer sikkerhedsforanstaltninger, overvåger sårbarheder og udsteder sikkerhedsopdateringer gennem hele produktets levetid.
Importører og distributører skal på deres side sikre, at kun produkter, der lever op til CRA’s krav og er korrekt CE-mærkede, bliver markedsført i EU.
Hvis der opdages alvorlige sårbarheder, skal alle aktører reagere hurtigt. Blandt andet ved at underrette ENISA (EU’s Agentur for Cybersikkerhed) inden for 24 timer efter en identificeret hændelse. Formålet er at skabe et klart og ensartet ansvar, så cybersikkerhed ikke bliver en gråzone mellem producenter og leverandører, men en integreret del af hele værdikæden.
Klassificering af produkter
CRA opdeler produkter i to hovedkategorier:
- Ikke-kritiske produkter: Producenten kan selv dokumentere overensstemmelse gennem en intern kontrolprocedure.
- Kritiske produkter (klasse I og II): Der kræves en tredjepartsvurdering af et uafhængigt organ, før produktet må markedsføres i EU.
Kritiske produkter kan fx omfatte operativsystemer, firewalls eller netværksudstyr, hvor en fejl kan have vidtrækkende konsekvenser.
Implementering og håndhævelse
Selvom Cyber Resilience Act formelt trådte i kraft 10. december 2024, får virksomheder en implementeringsperiode på tre år, før kravene bliver fuldt ud gældende i december 2027. Den periode skal give producenter, importører og distributører tid til at tilpasse deres processer, dokumentation og tekniske systemer til de nye krav.
Det er dog vigtigt at forstå, at CRA ikke er en formel øvelse i compliance. Forordningen bliver retligt bindende i hele EU, og manglende overholdelse kan få betydelige konsekvenser.
Overtrædelser kan medføre bøder på op til 15 millioner euro eller 2,5 % af virksomhedens globale årlige omsætning, alt efter hvilket beløb der er højest. Hertil kommer risikoen for markedsforbud, tilbagetrækning af produkter og et alvorligt tab af tillid blandt kunder og samarbejdspartnere.
CRA er samtidig en central brik i EU’s overordnede Cybersecurity Strategy fra 2020, der skal sikre et mere modstandsdygtigt digitalt Europa, og som består af tre gensidigt forstærkende initiativer:
- Cyber Resilience Act der sætter krav til selve de digitale produkter
- NIS2-direktivet der stiller krav til cybersikkerhed i kritiske sektorer
- CER-direktivet der styrker den fysiske og operationelle robusthed i kritisk infrastruktur
Tilsammen danner de rammen for en ny æra af digital sikkerhed, hvor EU stiller ensartede krav til både produkter, organisationer og infrastruktur, og hvor cybersikkerhed bliver et fælles ansvar på tværs af medlemslandene.
Et nyt kapitel for digital sikkerhed i EU
Cyber Resilience Act markerer et paradigmeskifte i EU’s tilgang til cybersikkerhed. For første gang stilles der fælles og bindende krav til sikkerheden i selve de digitale produkter, der bruges overalt i samfundet. Det er et tegn på, at tillid bliver den nye valuta i det digitale marked. Når alt fra kaffemaskiner til kraftværker er online, bliver grænsen mellem produkt og infrastruktur flydende, og ansvar bør derfor være et fælles anliggende.
Virksomheder, der designer, producerer eller distribuerer digitale produkter, bør allerede nu begynde at forberede sig på CRA. Det vil både sikre compliance, men også styrke tilliden til produkterne i et marked, hvor cybersikkerhed bliver et konkurrenceparameter på linje med kvalitet og funktionalitet.
