Android Header Copy

Nye Eu-Regler skal sikre tryggere maskin- og programvare

EU tar viktige steg for å forbedre cybersikkerheten ved at de 12 mars i år vedtog den nye Cyber Recilience Act.

Produkter med digitale elementer (Internet of Things – IoT) er blitt en viktig del av vår hverdag. Disse har iboende sikkerhetsrisikoer som kanskje ikke alltid er tydelig for sluttbrukere. Disse risikoene er tydelige når vi ser den økende hyppigheten av vellykketde cyberangrep som har resultert i store globale kostnader hvert år.

Reguleringen av sikkerhetskrav for produkter med digitale elementer, skal sikre tryggere maskinvare’ og programvareprodukter. Målet er å beskytte forbrukere og bedrifter som kjøper eller bruker dem.

Dagens produkter har felles to hovedproblemer:
  • Et lavt nivå av sikkerhet. Utbredte sårbarheter og manglende levering av sikkerhetsoppdateringer for å tette disse sårbarhetene.
  • Utilstrekkelig forståelse og tilgang fra brukere. Dette hindrer dem i å velge produkter med tilstrekkelige sikkerhetsfunksjoner eller å bruke produktene på en sikker måte

Reguleringen vil introdusere obligatorisk krav for produsenter og forhandlere. Alt programvare som er koblet til internett skal være CE-merket for å indikere at de overholder de nye standardene. Ved å kreve at produsenter og forhandlere prioriterer cybersikkerhet, vil kunder og bedrifter få muligheten til å ta bedre informerte valg og trygge arbeidsplass og hjem fra kjente risikoer.

Hva er Cyber Resilience Act (CRA) ?

Cyber Resilience Act (CRA) er et EU-forslag for å styrke cybersikkerhet og -motstand i EU gjennom felles standarder for produkter med digitale elementer. Enighet om CRA blenådd i desember 2023, og den fikk formell godkjenning av Europaparlamentet i mars 2024. CRA venter fortsatt på godkjenning fra Rådet før den trer i kraft.

Leverandører, produsenter og forhandlere bør være klar over disse punktene:
  • produktsikkerheten skal tilpasses risikoen. Alle produkter skal etterleve essensielle krav til sikkerhet. Hovedkravet er at sikkerheten skal tilpasses risikonivået. Produkter skal ikke ha kjente sårbarheter som utgjør risikoer.
  • Oppdateringre skal skje løpende. Leverandører plikter å oppdatere programvarer for å tette sikkerhetshull.
  • support i 10 år. Produktene må holdes trygge over lenge tid med jevne oppdateringer.
  • nye rapporteringskrav. Produsenten må rapportere om funn av sårbarheter til sikkerhetsorganene INISA og CSIRT innen 24 timer. De skal også følge opp med jevnlige rapporteringer.
  • Etterlevelseserklæring. Forhandlere har ansvar for å kontrollere at produsenter har nådd kravene, og skal bekrefte etterlevelse med erklæring.
  • Produktene skal CE-merkes. Forordningen krever at produktene som omfattes skal bære CE-merke. Teknisk dokumentasjon skal følge produktet.

Forordningen er vedtatt i EU-parlamentet. Om den også blir godkjent av Ministerrådet i EU vil forordningen bli inntatt i EØS-avtalen og blir en del av norsk lov.