Denne lov får betydning for de fleste af os. Den får betydning for alt fra huselektronik til kritisk datacenter køling. Intet elektronisk design eller softwareudvikling kan undgå lovens rækkevidde. Og man kan tænke lidt over om den ikke også er designet til at holde Kina, Indien, USA og andre væk fra EU’s markedet. Tanken er nærliggende og kan også opfattes som en handelsmur eller straftold på kinessiske varer. Loven skønnes at koster alle virksomheder 500 milliarder kroner samt løbende 250 milliarder kroner pr. år. Det skriver ICARE.DK
“Dette betyder, at leverandører af ren software, herunder backend-tjenester, applikationer og grænseflader, skal efterleve kravene om robusthed, løbende sikkerhedsopdateringer og dokumentation”. Det skriver ICARE.DK
EU’s mest omfattende sikkerhedslov er nu trådt i kraft
CRA tvinger nemlig producenterne at inddesigne cyber-sikkerhed ind i hele livscyklussen for deres produkter. Dette skal altså indtænkes fra selve fra design og udvikling til produktion, distribution og vedligeholdelse.
I dag markerede EU denne dag som et væktøj for hele cybersikkerheden og dermed også EU’s kamp for cybersikkerhed. Cyber Resilience Act (CRA) er hermed officielt trådt i kraft.
CRA omfatter alt fra smarte køleskabe, robotstøvsugere og babyalarmer til kritisk it-infrastruktur – stort set alle produkter med digitale elementer, der kan forbindes til et netværk eller en anden enhed.
Den nye lovpakke, der har været flere år undervejs, stiller omfattende krav til digitale produkter og deres producenter for at sikre en højere grad af robusthed mod cybertrusler på tværs af EU.
I en tid, hvor digitale produkter gennemsyrer alle aspekter af samfundet, har EU’s seneste lovgivningsinitiativer sat en højere standard for, hvordan producenter håndterer cybersikkerhed. Indførelsen af den nye Cyber Resilience Act (CRA) indebærer et markant skift i ansvaret for producenter af digitale enheder i hele deres levetid.
Fokus flyttes fra blot at markedsføre nye, smarte produkter til at sikre, at både udvikling, design og efterfølgende vedligeholdelse følger strenge sikkerhedskrav.
Dette medfører en stærkere ramme for beskyttelse mod cyberangreb og dataindbrud. Lovgivningen er nu trådt i kraft og vil få praktisk betydning for alle, der opererer inden for det digitale område – fra almindelige husholdningsapparater til kritisk it-infrastruktur.
EU’s Cyber Resilience Act: Baggrund og Formål
EU har med vedtagelsen af Cyber Resilience Act (CRA) officielt løftet barren for cybersikkerhed i hele det indre marked. Målet med den nye lovgivning er at opnå en systematisk, helhedsorienteret tilgang til beskyttelse mod cybertrusler, som ikke alene omfatter udviklingsfasen, men strækker sig langt ind i produktets samlede levetid.
Det betyder, at producenterne skal tage højde for sikkerhedsmæssige aspekter allerede ved produktdesign, sourcing af komponenter, produktion, distribution, løbende vedligeholdelse og fremtidige opdateringer. Det skriver EU-Kommissionen.
Omfanget af Cyber Resilience Act
CRA har en særdeles bred anvendelsesramme. Den gælder for enhver fysisk genstand med digitale elementer, der kan opnå forbindelse til et netværk. Dette inkluderer produkter fra helt simple husholdningsapparater til komplekse kritiske infrastruktursystemer. Formålet er at lukke huller i sikkerheden på tværs af produktkategorier. Eksempler på produkter, der er omfattet, kan omfatte:
- Intelligente husholdningsmaskiner som smarte køleskabe
- Robotstøvsugere, der betjenes via mobilapps
- Babyalarmer og overvågningsudstyr med internetforbindelse
- Kritisk it-infrastruktur, herunder servere, industrielle kontrolsystemer og netværksudstyr
For at illustrere de enkelte trin i produktets levetid kan følgende tabel danne overblik:
Fase | Krav til Sikkerhedsmæssig Inddragelse |
---|---|
Design | Indbygget cybersikkerhed og risikovurderinger |
Udvikling | Overholdelse af kodekvalitet, test og audits |
Produktion | Kontrolleret forsyningskæde med sikre komponenter |
Distribution | Sikker emballering, autentificering og sporbarhed |
Vedligeholdelse | Regelmæssige sikkerhedsopdateringer og patches |
Krav til Producenter under den Nye Lovgivning
Den nye lov kræver, at producenter arbejder proaktivt med cybersikkerhed. De skal udarbejde dokumentation og demonstrere, at alle relevante sikkerhedsfaktorer er indregnet. Desuden skal de løbende overvåge trusler og være i stand til hurtigt at respondere på nye sårbarheder.
Producenterne kan blandt andet blive forpligtet til at levere opdateringer og sikkerhedspatches i hele produktets forventede levetid for at forhindre, at kendte sikkerhedshuller udnyttes. Hermed sikres en konsistent høj standard for robusthed mod cyberangreb. Dette understøttes også af eksisterende dansk lovgivning om informationssikkerhed, f.eks. Lov om net- og informationssikkerhed for domænenavnssystemer og trust-tjenester, jf. lov nr. 423 af 21. april 2020.
Denne fil er fra i dag 11.12.2024.
Er CRA Handelshindringer mod USA og Kina ?
I takt med at EU strammer kravene til cybersikkerhed for digitale produkter, kan det skabe spørgsmål om, hvorvidt disse regler reelt fungerer som skjulte handelshindringer. Når produkter fra eksempelvis Kina ikke overholder EU’s nye standarder, kan det potentielt forhindre dem i at komme ind på det europæiske marked.
Men i modsætning til traditionelle toldmure, der lægger ekstra afgifter på importerede varer, handler det her om at opfylde specifikke tekniske og sikkerhedsmæssige krav. Disse krav gælder alle producenter, uanset geografisk oprindelse, og udgør dermed ikke en diskriminerende foranstaltning. Formålet er at beskytte forbrugere, virksomheder og kritisk infrastruktur mod cybertrusler, snarere end at hæmme international handel som sådan.
Men det er helt klart målrettet produkter fra Temu, Shein, Alibaba Express og et have af andre lavprisbutikker der ser stort på sikkerhed, og ja helt sikkert indholder trojanere m.v.
Regulering Frem for Toldbarrierer
EU’s nye lovgivning, såsom Cyber Resilience Act (CRA), er ikke designet til at hæve tolden på importerede varer, men derimod til at sikre, at alle produkter på det europæiske marked overholder de samme høje standarder for cybersikkerhed. Dette skaber ens rammer for alle aktører, uanset om produkterne kommer fra EU-lande eller lande udenfor EU. Det skriver bl.a. EU-Kommissionen.
Standarder og Overholdelse
Kravene under CRA er tekniske standarder, der skal opfyldes for at få adgang til det europæiske marked. Disse standarder fokuserer på produktets sikkerhedsegenskaber gennem hele dets livscyklus. Med andre ord er det en form for lovpligtig kvalitetskontrol.
Hvis kinesiske varer – eller varer fra et hvilket som helst andet land – ikke kan opfylde disse standarder, kan de ikke sælges inden for EU. Dette er ikke en toldmur, men en teknisk barriere til beskyttelse af forbrugere og infrastruktur.
Lighedsprincippet og Lovgrundlaget
Disse regler gælder for alle leverandører ligeværdigt. Der er ikke tale om en diskrimination baseret på geografi, men en generel forpligtelse til at overholde EU’s lovgivning om cybersikkerhed.
Formålet er dermed ikke at bremse importen, men at hæve kvaliteten og sikkerheden for alle produkter. Det kan sammenlignes med krav til CE-mærkning, sikkerhedsstandarder inden for legetøj eller elektronik, som alle producenter må overholde for at få adgang til EU-markedet.
Hvor mange områder gælder CRA?
Loven er skabt til at sikre et højt niveau af cybersikkerhed for alle produkter med digitale elementer, men gælder den også softwareløsninger, API-adgange og videokameraer?
Ved at se nærmere på CRA’s definitioner og anvendelsesområde bliver det tydeligt, at ikke kun fysiske enheder, men også software og tilkoblede tjenesteydelser er omfattet.
Producenter, udviklere og leverandører skal derfor sikre, at alle digitale komponenter opfylder strenge sikkerhedsstandarder. Dette skaber nye krav for hele den digitale værdikæde, uanset om der er tale om en hardwareenhed eller rent softwarebaserede løsninger.
Digitalt Omfang af Cyber Resilience Act
Det skriver Europa-Kommissionen: CRA er ikke udelukkende rettet mod håndgribelige, fysiske produkter, men retter sig mod alle typer produkter med digitale funktioner, der kan tilkobles et netværk. Det kan være alt fra avanceret styringssoftware, forbundne API’er (Application Programming Interfaces), der binder forskellige systemer sammen, til videokameraer med internetadgang. Målet er at sikre, at alle dele af et økosystem – både hardware og software – lever op til en fælles standard for cybersikkerhed. Dette betyder, at leverandører af ren software, herunder backend-tjenester, applikationer og grænseflader, skal efterleve kravene om robusthed, løbende sikkerhedsopdateringer og dokumentation.
Eksempler på Omfattede Produkttyper
- Ren software: Operativsystemer, applikationer, API-backends og microservices
- API-adgange: Integrationer mellem interne og eksterne systemer, leveret via netværksforbundne grænseflader
- Videokameraer: Netværksforbundne kameraer, hvad enten det gælder overvågning, industriel produktion eller forbrugerprodukter, er omfattet, da de opsamler og overfører data og potentielt kan udgøre en sikkerhedsrisiko
Nedenfor er en tabel, hvor vi har illustrerer flere forskellige produktkategorier under CRA:
Produktkategori | Eksempler | Fokus på Sikkerhed |
---|
Software | Operativsystemer, applikationer, API-backends | Sikker kode, løbende patching, krypteret datatransmission |
Hardware-enheder | Videokameraer, sensorer, IoT-enheder | Indbygget sikkerhed, regelmæssige firmwareopdateringer, beskyttelse mod uautoriseret adgang |
Netværksenheder | Routere, switche, firewalls, load balancere | Robust netværksbeskyttelse, segmentering, løbende opdateringer og kontrol af adgang |
Cloud-tjenester | Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), infrastruktur-løsninger (IaaS) | Kryptering, løbende kontrol af adgangsrettigheder, systematiske sikkerhedsopdateringer |
Industrielle Systemer | SCADA, PLC-styreenheder, industrielle produktionslinjer | Sikkerhedsarkitektur mod forsyningskædeangreb, industriel netværkssegmentering, løbende overvågning |
Køretøjer med digitale elementer | Forbundne biler, smarte transportsystemer | Sikker datakommunikation, robust beskyttelse mod fjernadgangsangreb, opdateringer af bilsoftware |
Medicinsk Udstyr | Netværksforbundne medicinske enheder, patientovervågningssystemer | Strenge krav til datasikkerhed, løbende patching, kontrol med følsomme oplysninger |
Wearables | Smartwatches, fitness-trackere, AR/VR-headsets | Kryptering af brugerdata, autentificeret opdateringsproces, beskyttelse mod datalækager |
Kilde: ICARE SECURITY A/S, EU
Fotokredit: stock.adobe.com, ICARE SECURITY A/S
Personer/Firmaer/Emner/#: #CRA, #CyberResilienceAct, #EULovgivning, #Cybersikkerhed, #SmarteEnheder, #ITInfrastruktur
Ⓒ 2024 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.