Digitale produkter har blitt ryggraden i alt fra hjemmet til industrien, men representerer også en økende sikkerhetsrisiko. Cyberangrep som Log4j-sårbarheten og Mirai-botnettet har vist hvor raskt én enkelt svakhet kan få globale konsekvenser.
Derfor har EU vedtatt Cyber Resilience Act (CRA). En forordning som stiller felles krav til cybersikkerhet i produkter med digitale elementer, fra programvare og maskinvare til tilknyttede tjenester. Forordningen ble vedtatt i 2024 og er en del av EUs samlede Cybersecurity Strategy fra 2020, som også omfatter NIS2- og CER-direktivet. Samlet skal initiativene bidra til et mer robust og motstandsdyktig digitalt indre marked i EU.
Et felles rammeverk for cybersikkerhet i produkter
Cyber Resilience Act springer ut av et tydelig behov for å styrke den kollektive robustheten i det europeiske digitale økosystemet. I dag er cybersikkerhet i produkter tett knyttet til både forbrukertillit, innovasjon og forsyningssikkerhet. Når ett usikkert produkt kan utgjøre en risiko for tusenvis av virksomheter, er et felles sett med spilleregler ikke bare ønskelig, men nødvendig.
Med CRA får EU for første gang et harmonisert rammeverk for cybersikkerhet i produkter med digitale elementer. Det skal sikre at alle aktører, uavhengig av størrelse og bransje, oppfyller minimumskrav til sikker utvikling, risikostyring og løpende oppdateringer.
For virksomheter innebærer dette et skifte fra fragmenterte nasjonale krav til et felles regelverk som gir større forutsigbarhet på tvers av medlemslandene. For brukerne betyr det produkter der sikkerhet ikke er avhengig av produsentens gode vilje.
Hvem omfattes av forordningen?
Cyber Resilience Act gjelder alle produkter med digitale elementer som kan kobles direkte eller indirekte til et nettverk. Det omfatter et bredt spekter av både maskinvare og programvare, fra operativsystemer og applikasjoner til smarthjem-enheter, nettverksutstyr og industrielle kontrollsystemer.
Kort sagt: Dersom et produkt kan oppdateres, kommunisere digitalt eller påvirkes via en nettverkstilkobling, vil det som hovedregel omfattes av CRA.
Det finnes imidlertid enkelte unntak. Forordningen gjelder ikke produkter som allerede er regulert av sektorspesifikk EU-lovgivning med tilsvarende krav, for eksempel innen luftfart, bilindustri og medisinsk utstyr. I tillegg er åpen kildekode-programvare som utvikles og deles uten kommersielle formål, som hovedregel unntatt.
Security by design og security by default
Kjernen i Cyber Resilience Act er de to grunnprinsippene security by design og security by default.
Security by design innebærer at cybersikkerhet skal bygges inn i produktets arkitektur fra starten av, ikke legges til som et ekstra lag i etterkant. Produsenter må identifisere og redusere potensielle trusler allerede i design- og utviklingsfasen, slik at sikkerhet blir en integrert egenskap ved produktet.
Security by default betyr at produktet skal være sikkert i standardoppsett. Brukeren skal ikke måtte aktivere sikkerhetsfunksjoner manuelt for å være beskyttet, de skal være aktivert som utgangspunkt.
Til sammen markerer disse prinsippene et skifte fra reaktiv til proaktiv cybersikkerhet. Det er ikke lenger tilstrekkelig å reagere når trusler oppstår, sikkerhet skal bygges inn i produktets DNA fra dag én.
LES OGSÅ: Cyberresiliens som en del av GRC-strategien
Krav til produsenter, importører og distributører
Forordningen stiller tydelige krav til alle ledd i leverandørkjeden.
Produsenter må sikre at produktene utvikles og vedlikeholdes i tråd med høye sikkerhetsstandarder. Dette innebærer blant annet å gjennomføre risikovurderinger, dokumentere sikkerhetstiltak, overvåke sårbarheter og utstede sikkerhetsoppdateringer gjennom hele produktets livssyklus.
Importører og distributører skal på sin side sikre at kun produkter som oppfyller CRA-kravene og er korrekt CE-merket, bringes i omsetning i EU.
Dersom det avdekkes alvorlige sårbarheter, skal alle aktører reagere raskt. Blant annet skal ENISA, EUs byrå for cybersikkerhet, varsles innen 24 timer etter at en hendelse er identifisert. Formålet er å etablere et tydelig og ensartet ansvar, slik at cybersikkerhet ikke blir en gråsone mellom produsenter og leverandører, men en integrert del av hele verdikjeden.
Klassifisering av produkter
CRA deler produkter inn i to hovedkategorier:
- Ikke-kritiske produkter: Produsenten kan selv dokumentere samsvar gjennom en intern kontrollprosedyre.
- Kritiske produkter (klasse I og II): Krever tredjepartsvurdering fra et uavhengig organ før produktet kan markedsføres i EU.
Kritiske produkter kan for eksempel omfatte operativsystemer, brannmurer og nettverksutstyr, der feil kan få omfattende konsekvenser.
Implementering og håndheving
Selv om Cyber Resilience Act formelt trådte i kraft 10. desember 2024, får virksomheter en implementeringsperiode på tre år. Kravene blir dermed fullt gjeldende fra desember 2027. Perioden skal gi produsenter, importører og distributører tid til å tilpasse prosesser, dokumentasjon og tekniske løsninger til de nye kravene.
Det er imidlertid viktig å være klar over at CRA ikke er en ren formalitet. Forordningen er rettslig bindende i hele EU, og manglende etterlevelse kan få betydelige konsekvenser.
Brudd kan føre til bøter på opptil 15 millioner euro eller 2,5 prosent av virksomhetens globale årlige omsetning, avhengig av hvilket beløp som er høyest. I tillegg kommer risikoen for salgsforbud, tilbaketrekking av produkter og alvorlig tap av tillit hos kunder og samarbeidspartnere.
- CRA er samtidig en sentral del av EUs overordnede Cybersecurity Strategy fra 2020, som består av tre gjensidig forsterkende initiativer:
- Cyber Resilience Act, som stiller krav til selve de digitale produktene
- NIS2-direktivet, som regulerer cybersikkerhet i kritiske sektorer
- CER-direktivet, som styrker fysisk og operasjonell robusthet i kritisk infrastruktur
Til sammen danner disse regelverkene rammen for en ny fase innen digital sikkerhet, der EU stiller ensartede krav til produkter, organisasjoner og infrastruktur, og der cybersikkerhet blir et felles ansvar på tvers av medlemslandene.
Et nytt kapittel for digital sikkerhet i EU
Cyber Resilience Act markerer et paradigmeskifte i EUs tilnærming til cybersikkerhet. For første gang innføres det felles og bindende krav til sikkerheten i selve de digitale produktene som brukes på tvers av samfunnet. Det tydeliggjør at tillit er blitt en sentral verdi i det digitale markedet.
Når alt fra kaffemaskiner til kraftverk er koblet til nettet, blir skillet mellom produkt og infrastruktur stadig mer uklart. Ansvar for sikkerhet kan derfor ikke plasseres ett sted, det må deles.
Virksomheter som utvikler, produserer eller distribuerer digitale produkter, bør allerede nå begynne å forberede seg på CRA. Det vil ikke bare bidra til etterlevelse, men også styrke tilliten til produktene i et marked der cybersikkerhet i økende grad er et konkurranseparameter på linje med kvalitet og funksjonalitet.
LES OCKSÅ: EUs økte fokus på cybersikkerhet
