EU:s rättsakt om cyberresiliens

Publicerat av: Eva Rydegran ·

Från solpaneler till laddstolpar för elektriska fordon, till smarta klockor och Smarta Hem-produkter - programvara som innehåller en digital komponent finns överallt i vårt samhälle och dagliga liv. Mindre uppenbart för många användare är säkerhetsrisken som sådana produkter och programvara kan utgöra. EU:s nya cybersäkerhetsregler säkerställer säkrare hård- och mjukvara.

EU kommissionens förslag till en ny rättsakt om cyberresiliens syftar till att skydda företag och konsumenter som köper eller använder produkter eller programvara med en digital komponent. Förordningen ska vara tillämpligt på alla produkter som är direkt eller indirekt anslutna till en annan enhet eller ett annat nätverk, med undantag för specifika undantag såsom programvara eller tjänster med öppen källkod som redan omfattas av befintliga regler, vilket är fallet för medicintekniska produkter, luftfart och bilar. Den föreslagna förordningen som tillkännagavs redan i EU:s strategi för cybersäkerhet 2020 skulle komplettera befintlig lagstiftning, särskilt kommande NIS-2 direktivet.

Förordningen om horisontella cybersäkerhetskrav för produkter med digitala inslag ska säkerställa obligatoriska cybersäkerhetskrav för tillverkare, återförsäljare och distributörer av digitala produkter. Kraven innebär att tillverkare ska ta cybersäkerhet i beaktande i designen och utvecklingen av produkter. Tillverkare ska även granska säkerhetsaspekter under utvecklingsprocessen, ha transparens gentemot konsumenter gällande cybersäkerhetsaspekter samt försäkra säkerhetssupport och uppdateringar på ett proportionerligt sätt under produktens livscykel.

Den föreslagna lagen om cyberresiliens ska garantera följande:

  • Harmoniserade regler vid saluföring av produkter eller programvara med en digital komponent.
  • En ram med cybersäkerhetskrav som styr planering, utformning, utveckling och underhåll av sådana produkter, med skyldigheter som ska uppfyllas i varje led i värdekedjan.
  • En skyldighet att ombesörja för produkters hela livscykel.

När den föreslagna förordningen träder i kraft kommer programvara och produkter som är anslutna till internet att vara försedda med CE-märkning för att visa att de uppfyller de nya standarderna. Att kräva att tillverkare och återförsäljare prioriterar cybersäkerhet ska ge företag och kunder möjlighet att göra mer välgrundade val ur ett cybersäkerhetsperspektiv.

Identifierade utmaningar

Certifiering och tekniska beskrivningar spelar en avgörande roll för att öka förtroendet och säkerheten för viktiga produkter och tjänster i det digitala samhället. För närvarande finns det dock ett antal olika system för säkerhetscertifiering produkter bara inom EU. Utan en gemensam ram för giltiga cybersäkerhetscertifikat finns det en ökande risk för fragmentering och hinder mellan medlemsstaterna.

  • För det första är dagens standarder otillräckliga ur ett cybersäkerhetsperspektiv för många produkter och dessa behöver presenteras i god tid före ikraftträdandet för att inte försämra konkurrensförmågan hos europeiska företag.
  • För det andra sker otillräckliga säkerhetsuppdateringar för flertalet digitala produkter och programvara idag. Hur aktuella säkerhetsuppdateringar hanteras och regleras samt kontrolleras blir en utmaning för den nya tillsynsmyndigheten.
  • För det tredje är både företagens och kundens förmåga att koppla upp och ställa in produkter på ett säkert sätt som säkerställer att deras cybersäkerhet skyddas inte en självklarhet. Här krävs att tydliga säkerhetsinstruktioner medföljer produkten.
  • För det fjärde är typ av utvärdering, såsom självbedömning eller av tredje part otydlig avseende riskbedömningen. Den avsedda cybersäkerhetsnivån eller så kallade ”assuransnivåerna” som föreslås användas för att informera användarna om cybersäkerhetsrisken för en produkt kan vara grundläggande, betydande och/eller höga. Hur detta står i proportion till den risknivå som är förknippad med den avsedda användningen av produkten och konsekvenserna av en sårbarhet eller ytterst en olycka är otydligt.
  • För det femte så kommer förslaget till förordning sannolikt att öka den administrativa kostnaden för företag som nyttjar digitala produkter. Risken finns även att innovation hämmas för företag då vare sig kostnadsdrivningar och samhällsekonomisk effektivitet har beaktats.

Europaparlamentet och rådet kommer nu att överlägga om den föreslagna rättsakten om cyberresiliens. När den berörda förordningen träder i kraft kommer aktörer att ha 24 månader på sig att anpassa sig till nya krav, med undantag för en mer begränsad anståndsperiod på 12 månader i förhållande till tillverkarnas rapporteringsskyldighet.

För mer information
The EU's Cybersecurity Strategy for the Digital Decade

Förslag om övergripande cybersäkerhetskrav för produkter med digitala element och om ändring av förordning (EU) 2019/1020

Bilagor till förslaget ovan

 

 

 

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se