De senaste åren har många lagar och förordningar om cybersäkerhet trätt i kraft. Dessutom kommer det fler, bland annat The Cyber Resilience Act. I det här blogginlägget kommer vi att förtydliga vad The Cyber Resilience Act är och vilken påverkan den kommer att få.
Vad är The Cyber Resilience Act?
The Cyber Resilience Act kan ses som ett komplement till NIS-direktivet och, i framtiden, NIS2. NIS-direktivet syftar till att främja säkerhetsåtgärder och höja EU:s medlemsländers skyddsnivå för kritisk infrastruktur. Det skärper kraven på informationssäkerhet vad gäller konfidentialitet, integritet och tillgänglighet.
Läs mer om NIS-direktivet och NIS2!
The Cyber Resilience Act är till för att säkerställa att digitala produkter som finns på marknaden har tillräcklig cybersäkerhet. Men vad är en produkt med digitala element, som det står i direktivet? Det betyder i grunden en mjuk- eller hårdvaruprodukt och externa system som de eventuellt är beroende av. Genom att skapa ett regelverk för tillverkarna är förhoppningen att begränsa risken för cyberattacker mot användaren av produkten.
Vad innebär The Cyber Resilience Act?
Hittills har inga sektorer eller specifika produkter med digitala element specificerats, men det kan komma att hända i framtiden. För att markera att en produkt följer denna nya förordning ska den ha märkts med CE-märkningen.
Under utvecklingen av exempelvis mjukvara läggs mer fokus på design- och utvecklingsfasen än produktionsfasen. Följande ingår i den nya förordningen:
- Regler för att släppa ut produkter med digitala inslag på marknaden
- Krav på cybersäkerhet för design, utveckling och produktion av produkter med digitala element
- Krav för hantering av sårbarheter
- Regler om marknadsövervakning
Hur följer man The Cyber Resilience Act?
När man tillverkar en produkt måste tillverkaren göra en cybersäkerhetsbedömning av produkten. Denna bedömning bör beaktas under design-, utvecklings- och produktionsfaserna, samt vid leverans och underhåll. Syftet är att minimera cybersäkerhetsrisker och förebygga incidenter och konsekvenser av dessa incidenter.
Det är också viktigt att ha i åtanke att ändringar kan förändra det digitala elementet i produkten, så man måste se till att ändringarna följer kraven i The Cybersecurity Resilience Act. Produkten ska vara säker och följa kriterierna både när den släpps ut på marknaden och under hela dess livstid. Därför måste det finnas krav på hur sårbarheter och krav på cybersäkerhet ska anpassas vidare till vilken typ av produkt som produceras.
Kort sagt, cybersäkerheten måste beaktas under hela processen för en produkt, från design till att support inte längre ges och produkten läggs ned.
Rapportering och incidenter
Om en tillverkare av en produkt med digitala element får reda på en aktivt utnyttjad sårbarhet i produkten måste de utan dröjsmål rapportera sårbarheten till The European Union Agency for Cybersecurity (ENISA). Det måste rapporteras inom 24 timmar efter upptäckten av sårbarheten. Om en tillverkare får kännedom om en incident som påverkar produktens säkerhet ska detta också rapporteras till ENISA inom 24 timmar. Tillverkaren är också skyldig att informera användarna av produkten om incidenten och om möjligt föreslå mildrande åtgärder.
Böter
Om du inte följer The Cyber Resilience Act riskerar du stora böter – upp till 15 000 000 EUR. Böternas storlek bestäms av graden av bristande efterlevnad av föreskrifterna, konsekvensernas svårighetsgrad, tillverkarens storlek och så vidare.
Vill du veta mer om NIS-direktivet?
Läs om hur du skyddar din digitala information!