Cyber Resilience Act er på vej med nye krav til hardware- og software producenter

2023-08-16

EU rådet er omsider så langt, at man er klar til at indlede de afsluttende forhandlinger med Europa-Parlamentet omkring den længe ventede Cyber Resilience Act forordning. Denne forordning skal skabe horisontale cybersikkerhedskrav til produkter med digitale elementer.

"Hardware- og softwareprodukter udsættes i stigende grad for vellykkede cyberangreb, og de samlede årlige omkostninger ved cyberkriminalitet beløber sig således til 5,5 mia. EUR i 2021" hedder det indledningsvis i udkastet.

CRA indeholder bl.a. krav til løbende håndtering og rapportering af sårbarheder i software og hardware produkter i en periode på op til 5 år eller End-of-Life af produktet.

Med denne forordning vil der indlysende blive stillet markant større krav til sikker udvikling af produkter og med mulighed for at kunne sanktionere såfremt kravene ikke overholdes. Bevisbyrden er forøvrigt omvendt, som det også er tilfældet med NIS2 og GDPR forordningen.

Cyber Resilience Act (CRA) er et vigtigt tiltag der skal fastsætte minimumskrav til det tekniske design, udvikling og produktion af produkter med digitale elementer. Det gælder både software og hardware. Det betyder at man har inddelt fokusområder i tre segmenter: Default/standard, Class 1 (Klasse 1) og Class 2 (Klasse 2). Se billedet herunder:

Som et par eksempler på software løsninger som omfattes af CRA i standard segmentet finder vi bl.a. roboter, smart devices, legetøj, harddiske, billede redigeringssoftware, tekstbehandlingssoftware. I Klasse 1, som er langt mere kritisk, lander bl.a. Password managere, Antivirus, Browsere, SIEM, CPU'er, routere, NAS m.fl.

Kort sagt skal alle hardware- og softwareprodukter med digitale elementer, der tilhører enten klasse 1, klasse 2 eller standardkategorien, opfylde de nye cybersikkerhedskrav.

Produkter, som er ekskluderet fra Cyber ​​Resilience Act omfatter bl.a. motorkøretøjer, luftfartssystemer og medicinsk udstyr eller SaaS produkter (Software as a Service) som dog er omfattet af andre EU regler, herunder NIS2.

Europa-Kommissionen ønsker beføjelse til at opdatere listen over produkter.

Producenter af Klasse 1-kritiske produkter vil have to muligheder: at anvende eksisterende sikkerhedsstandarder, såsom EU's cybersikkerhedscertificeringsordning (læs mere her: https://www.sik.dk/erhverv/produkter/generel-produktsikkerhed/vejledninger/certificering-cybersikkerhed-produkter-tjenester-og-processer), eller gennemgå en tredjepartsvurdering.

Producenter af yderst kritiske produkter (Klasse 2) skal gennemgå tredjepartsvurdering, mens producenter af IoT'er fra standardkategorien vil kunne nøjes med at udføre selv evaluering.

Sanktioner for manglende overholdelse af EU's lov om cyberresilience
Det er de enkelte medlemslande som skal have ansvaret for at håndhæve loven og dermed også udstede bøder. Den strengeste bøde kan koste op til 15.000.000 EUR, eller 2,5 % af leverandøren/producentens årlige omsætning.

Den danske udgave af CRA kan findes her:
https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:52022PC0454

The CRA, Explained,
https://www.cyberresilienceact.eu/the-cra-explained/

The Cyber Resilience Act is Worse than I Thought...
https://www.youtube.com/watch?v=iUgAS1luxEQ