EU innfører strengere sikkerhetskrav for tilkoblede enheter gjennom Cyber Resilience Act. Dette innebærer at leverandører av produkter med digitale elementer må prioritere informasjonssikkerhet i design og produksjon. I en tid der smarte gjenstander er en integrert del av hverdagen, øker også risikoen for cyberangrep. Hacking av IoT-leker, sikkerhetsbrudd i hjemmesystemer og manipulering av maskiner er bare noen eksempler på truslene vi står overfor. Det nye regelverket tar sikte på å styrke motstandsdyktigheten til digitale produkter, slik at både bedrifter og privatpersoner kan ta informerte valg og velge sikrere produkter.
I en stadig mer digitalisert verden, hvor sårbarheten for potensielle cybertrusler øker, har EU tatt grep for å styrke digital sikkerhet på flere fronter. Dagens EU-lovgivning omfatter et fragmentarisk sett av regler som hver for seg tar for seg noen aspekter knyttet til cybersikkerhet. Vi har tidligere skrevet om hvordan DORA-regelverket skal ruste finanssektoren mot digitale trusler, og hvordan EUs NIS-direktiv har blitt gjennomført gjennom digitalsikkerhetsloven. Parallelt ser vi at antallet avviksmeldinger sendt Datatilsynet, er økende på området cyberangrep og personopplysninger.
Det siste lovverket i rekken er Cyber Resilience Act (CRA). Der NIS-regelverkene og DORA tar sikte å øke motstandsdyktighet i henholdsvis samfunnskritiske sektorer og bank- og finanssektoren, skal Cyber Resilience Act forhindre digitale angrep i produkter med digitale elementer.
Forordningen har til formål å sørge for at informasjonssikkerhet blir hensyntatt når tilkoblede produkter blir utviklet og plassert på markedet i EU.
Hvilke produkter er omfattet av regelverket?
Alle produkter med digitale elementer som inkluderer en direkte eller indirekte digital forbindelse er omfattet av regelverket. Dette inkluderer produkter som kan bli koblet til maskinvare eller koblet via APIer eller programvare. Dette er populære produkter som:
- smarttelefoner og smartklokker
- kameraer og høyttalere
- rutere, videospill, apper
- leketøy og babymonitor med digitale elementer
- kjøleskap, vaskemaskiner, støvsugere
Rene Software-as-a-service-tjenester faller utenfor. Det er også gjort unntak for noen produkttyper som allerede er regulert gjennom øvrig EU-lovgivning, eksempelvis medisinsk utstyr, luftfartsregulering, kjøretøy og tilkoblede enheter som skal anvendes til nasjonal sikkerhet eller militære formål.
Videre gjelder kravene for alle produkter som selges på markedet i EU. Det betyr at også ikke-europeiske produsenter og leverandører som selger slike produkter med digitale komponenter innenfor EU, må overholde kravene i regelverket.
Hva betyr Cyber Resilience Act for virksomheter som produserer produkter med digitale komponenter?
I likhet med kommende AI Act er også Cyber Resilience Act regulert med en risikobasert tilnærming. Regelverket stiller derfor strengere krav til digitale produkter hvor konsekvensene ved en cyberhendelse kan er større. Overordnet skilles det mellom to kategorier som reflekterer nivået av cybersikkerhetsrisiko knyttet til risikokategoriene «alminnelige produkter» og «kritiske produkter».
Alminnelige produkter med digitale elementer
- Denne klassifiseringen gjelder de fleste digitale produkter som ikke har kritiske sårbarheter.
Kritiske produkter med digitale elementer
- Denne klassifiseringen har to underkategorier, klasse 1 og klasse 2, som er differensiert etter produktets cyberrisiko. Klasse 1 er eksempelvis diverse software og systemer, mens klasse 2 innebærer blant annet operativsystemer og ulike typer mikroprosessorer.
Produsenter blir blant annet underlagt følgende forpliktelser:
- Avgjøre om produktet klassifiseres som et alminnelig produkt med digitale elementer eller et kritisk produkt med digitale elementer.
- Foreta en risikovurdering av den konkrete cyberrisiko produsentens produkt utgjør.
- Inkludere risikovurderingen i den tekniske dokumentasjonen, slik at tilkoblede produkters sikkerhetsegenskaper er tilgjengelige og transparente for forbrukere og virksomheter.
- Sørge for å ivareta informasjonssikkerheten gjennom hele produktets livssyklus, alt fra utvikling- og designfasen frem til 5 år etter at produktet har blitt plassert på markedet.
- Gjennomføre en samsvarsvurdering. Prosedyrene for kravene til samsvarsvurdering vil variere basert på risikokategori.
- CE-merke produkter med digitale elementer.
- Overholde dokumentasjonskrav.
- Varsle tilsynsmyndigheter innen 24 timer om hendelser som påvirker produktets sikkerhet.
Hvilke krav stiller Cyber Resilience Act til importører og forhandlere?
Regelverket stiller også krav til importører og forhandlere. Cyber Resilience Act fastslår eksplisitt at importører og forhandlere er underlagt de samme forpliktelsene som produsentene. Dette innebærer at importøren eller forhandleren:
- kontrollerer at produsenten har gjennomført en samsvarsvurdering, at produsenten oppfyller kravene til teknisk dokumentasjon og CE-merking;
- plikter også å oppgi egen kontaktinfo til forbrukeren og å sikre at produktet har bruksanvisninger og opplysninger på et språk forbrukeren forstår;
- plikter (importøren) å sørge for overenstemmelse med CRA før produktet selges, dersom importøren har grunn til å tro at et produkt virksomheten har importert ikke oppfyller overnevnte krav.
Ett tilleggskrav for forhandlere er at de skal sikre at også importøren overholder overnevnte krav før de starter forhandling av et produkt.
Forenkling for høyrisiko KI-systemer som omfattes av både CRA og AI-Act
I tillegg forenkler Cyber Resilience Act vurderingsprosessen for digitale produkter som inneholder høyrisiko KI-systemer. Dersom produktet oppfyller de angitte kravene i CRA, anses det automatisk som cybersikkert og i samsvar med de relevante cybersikkerhetsbestemmelsene i AI Act. Det er likevel viktig å huske på at selv om et KI-produkt vil anses som cybersikkert etter CRA, må det likevel oppfylle øvrige krav i AI Act.
Noen tanker om regelverkets betydning og veien videre
Innføring av enda en ny forordning innebærer en risiko for administrative gebyrer tilsvarende GDPR-bøter. Risikoen ved å ikke overholde kravene i Cyber Resilience Act er stor, ettersom brudd kan medføre administrative bøter tilsvarende 15 millioner EUR eller 2,5 % av selskapets globale omsetning, avhengig av hva som er høyest. Dette i tråd med gebyrnivået for en rekke nyere forordninger og direktiver.
Politisk enighet rundt revidert versjon ble oppnådd av EU-kommisjonen først 01.12.23, og endelig tekst ble vedtatt 12.03.24. Det neste steget er at den formelt skal vedtas av både EU-parlamentet og kommisjonen. Når formelt vedtak foreligger vil forordningen tre i kraft i EU den 20. dagen etter den er blitt publisert. Akkurat når dette vil skje er imidlertid fortsatt ikke fastlagt.
Når loven trer i kraft, vil produsenter, importører og distributører av maskinvare- og programvareprodukter ha 36 måneder på seg til å tilpasse seg de nye kravene, med unntak av en mer begrenset frist på 21 måneder når det gjelder produsentenes rapporteringsplikt for hendelser og sårbarheter.
Regelverket anses EØS-relevant, men det er foreløpig uklart når og hvordan regelverket vil bli implementert og hvilke eventuelle tilpasninger som vil gjøres i norsk rett.
Føyen kommer til å følge nøye med i prosessen rundt European Cyber Resilience Act, og det blir spennende å holde følge med utviklingen videre.