Cyber Resilience Act – så påverkas din verksamhet av nya förordningen
Tillverkar eller säljer du produkter som har digitala element? Då berörs du av Cyber Resilience Act (CRA) – EU:s nya regelverk som skärper kraven längs hela produktens livscykel. Ted Strandberg, expert på cybersäkerhet och funktionssäkerhet, förklarar vad som förväntas av din verksamhet.
Inbyggd säkerhet central del av CRA
Security by Design, eller inbyggd säkerhet, är en central del av förordningen. Det är inte längre godtagbart att addera säkerhet i efterhand, utan nu ställs krav längs hela utvecklingsfasen och fram till livscykelns slut.
– Livscykelperspektiv kanske de flesta förknippar med miljö och klimat, men här handlar det om mjukvarors livscykel. Den sträcker sig från idé och riskanalys till kravspecifikation, design, arkitektur, utveckling och testning. Efter att man har släppt mjukvaran på marknaden handlar det om underhåll och uppdateringar. Man pratar om End of Support, när tillverkaren slutar att skicka ut uppdateringar och inte längre tar ansvar för säkerheten, förklarar Ted Strandberg.
Standarder som verktyg för regelefterlevnad
Ted Strandberg leder den nationella arbetsgruppen i Sverige som utvecklar standarder kopplade till cybersäkerhet i produkter. Genom att prova produkter mot etablerade standarder, som IT-säkerhet i industriella automationssystem (EN IEC 62443) går det att bedöma om en produkt med digitala element uppfyller grundläggande cybersäkerhetskrav. Standarder kan användas som stöd för att visa efterlevnad av CRA. För vissa produkter som klassas som högrisk – till exempel operativsystem eller centrala systemkomponenter – inför CRA dessutom ett certifieringskrav.
CRA-efterlevnad extra viktigt för underleverantörer
Ett kvitto på CRA-efterlevnad i form av en ackrediterad rapport blir särskilt viktigt för underleverantörer som vill behålla och stärka sin konkurrenskraft. En underleverantör som inte kan garantera säkerheten för sina komponenter, faller bort som alternativ för kunderna som sätter den färdiga produkten på marknaden. Det är helt enkelt för mycket som står på spel.
– Bryter man mot reglerna kan man straffas med väldigt höga böter. Att ta hjälp av RISE är att dela den risken. Har man inte fått sin produkt granskad av tredjepart står man själv med risken att bli straffad. Skulle vi göra fel i granskningen har vi också ett ansvar, förklarar Ted Strandberg.
CRA-utbildning ger god kunskapsgrund
Före produktprovning, certifieringsprocess eller andra tekniska åtgärder kommer kunskapsbyggande. Med rätt kunskap blir det betydligt enklare att ta sig an CRA.
– Ett sätt att bygga den kunskapen är att gå en kurs hos oss. Vi håller företagsspecifika kurser som ger en stabil grund. För många aktörer kommer det ta tid att göra omställningen till CRA-efterlevnad, så det går inte att vänta alltför länge med att sätta i gång, säger Ted Strandberg.
Tre tips på hur du hanterar CRA:
- Höj kunskapsnivån. Förslagsvis genom en kurs som tydliggör vilka steg som just ni behöver ta för att säkerställa CRA-efterlevnad.
- Testa! Genomför ackrediterade produktprovningar och dra nytta av möjligheten att få rådgivning under produktutvecklingsfasen.
- Börja! Tiden är alltför knapp för att vänta.
Detta är CRA
Cyber Resilience Act (CRA) ställer gemensamma cybersäkerhetskrav på produkter med digitala element. Förordningen omfattar både hårdvara och mjukvara som säljs på EU-marknaden – från uppkopplade konsumentprodukter till industriella system och programvara.
CRA antogs i december 2024 och börjar tillämpas stegvis från september 2026. Full tillämpning väntas från december 2027.
Syftet är att höja den grundläggande säkerhetsnivån, minska sårbarheter i uppkopplade produkter och skapa en mer motståndskraftig digital inre marknad inom EU.
